SEAndroid 策略文件 ping.te

最近在研究SEAndroid，略懂皮毛，发几篇帖子和大家交流下

ping.te

type ping, domain;

permissive ping;

type ping_exec, file_type;

domain_auto_trans(shell, ping_exec, ping)

unconfined_domain(ping)

分析：

type ping, domain;

type type_name [ alias alias_set ] [, attribute_set] ;

这里定义了一个新类型ping，具有属性domain

permissive ping;ping域采用permission模式。
Android的SELinux 策略容许可以基于每个域来设置SELinux mode。root域与root进程（init,installd,vold）被设置为enforcing 模式。应用域留在permissive模式。type ping_exec, file_type; domain_auto_trans(shell, ping_exec, ping)domain_auto_trans is a macro defined in the file te_macros。意思是在执行type=ping_exec的文件时，自动将进程从shell域转换到ping域。unconfined_domain(ping)

unconfined_domain定义在te_macros，将ping 关联到属性mlstrustedsubject，unconfineddomain，从而容许ping 域不受约束。

在此语句结束后，类型ping有了三个属性: domain,mlstrustedsubject,unconfineddomain

# Allow the specified domain to do anything.

define(`unconfined_domain', `

typeattribute $1 mlstrustedsubject;

typeattribute $1 unconfineddomain;

')

总结：

     本策略文件定义了无限制域ping，使用permissive模式。用户在shell中执行类型为ping_exec的文件时，可以自动进入ping域。