android - 4.4 中的 SEAndroid

Question

我在“http://source.android.com/devices/tech/security/se-linux.html”中找到了这条语句

在 Android 4.3 中，SELinux 是完全宽松的。在 Android 4.4 中，SELinux 强制执行几个根进程的域:installd、netd、vold 和 zygote。所有其他进程，包括其他服务和所有应用程序，都保持在宽松模式下，以允许进一步评估并防止 Android 4.4 中的故障。尽管如此，错误的应用程序可能会在根进程中触发不允许的操作，从而导致进程或应用程序崩溃。

这意味着 SEAndroid 尚未完全启用，请问有人可以确认吗？

Answer 1

Android SE 具有三种主要模式:禁用、宽容和强制。在 4.3 中，默认模式是宽容的。这意味着 SE 已启用，但策略违规仅会被记录下来，不会强制执行。在宽容模式下，一切都像 SE 不存在或被禁用一样工作，除了您可以查看拒绝日志并查看策略如何工作以及它在强制模式下可能产生的影响。

对于 4.4，默认模式更改为强制执行，但默认策略保持非常简单，仅对几个关键的根进程进行保护。

所以答案是肯定的，SE for Android 在 4.4 中完全启用并强制执行。但是，默认政策非常宽松。如果要在特定设备上确认模式，可以使用 adb shell getenforce。如果你有 root，你也可以使用 setenforce 如下(1=Enforcing，0=Permissive):

usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

最后，如果您有兴趣查看设备上的实际策略，请使用 adb pull/sepolicy 来下载策略二进制文件，然后使用 apol查看它。在 Ubuntu 上，apol 是包 setools-gui 的一部分。