Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC)，甚至包括以 Root/超级用户权限运行的进程（Linux 功能）。

    借助 SELinux，Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响，并保护用户免遭移动设备上的代码可能存在的缺陷的影响。

    SELinux 按照默认拒绝的原则运行：任何未经明确允许的行为都会被拒绝。SELinux 可按两种全局模式运行：

• 宽容模式permissive：权限拒绝事件会被记录下来，但不会被强制执行。
• 强制模式enforcing：权限拒绝事件会被记录下来并强制执行.

下面大概介绍一下工作中经常遇到的Selinux相关知识

目录

1. 如何打开/关闭Selinux

1.1 打开Selinux

1.2 关闭Selinux

2. 关于Android12 高通平台Selinux的目录介绍

2.1 原生Sepolicy目录

2.2 QSSI侧Sepolicy定制目录

 2.3 VENDOR侧Sepolicy定制目录

3. 一些使用场景的分析

3.1 假如我们的功能都实现在QSSI侧，实现的是一个系统服务, 我们想让它被vendor侧访问，应该在哪里添加type才能被vendor侧访问呢？

3.2 假如我们的功能都实现在VENDOR侧，实现的是一个hal服务, 我们想让它被system侧访问，应该在哪里添加type才能被system侧访问呢？

3.3 假如我们的功能都实现在QSSI侧，实现的是一个系统服务, 我们不想让它被vendor侧访问，应该在哪里添加type才能不被vendor侧访问呢？

3.4 假如我们的功能都实现在VENDOR侧，实现的是一个HAL服务, 我们不想让它被system侧访问，应该在哪里添加type才能不被system侧访问呢？

---

1. 如何打开/关闭Selinux

1.1 打开Selinux

打开Selinux即将Selinux处于enforcing模式，所以权限事件都会被记录下来并强制执行。

    adb root

    adb shell setenforce 1

    adb shell getenforce
      Enforcing           (返回结果)

如果Selinux处于打开状态下，权限事件的log如下, 可以看到permissive=0，即可以确定当前处于enforcing模式，这时候test进程是不可以读取test.json的，会被明确拒绝。

01-01 20:15:07.355  1035  1035 I auditd  : type=1400 audit(0.0:23): avc: denied { read } for comm="test" name="test.json" dev="sda12" ino=25609 scontext=u:r:test:s0 tcontext=u:object_r:test_file:s0 tclass=file permissive=0 

1.2 关闭Selinux

关闭Selinux即将Selinux处于permissive模式，所以权限事件都会被记录下来，但不会强制执行。

    adb root

    adb shell setenforce 0

    adb shell getenforce
      Permissive     (返回结果)

如果Selinux处于关闭状态下，权限事件的log如下, 可以看到permissive=1，即可以确定当前处于permissive模式，这时候test进程可以读取test.json的，虽然log也打印出来了，但是这个log只是打印出来供用户读取，并不会起到任何拒绝的作用

01-01 20:15:07.355  1035  1035 I auditd  : type=1400 audit(0.0:23): avc: denied { read } for comm="test" name="test.json" dev="sda12" ino=25609 scontext=u:r:test:s0 tcontext=u:object_r:test_file:s0 tclass=file permissive=1

2. 关于Android12 高通平台Selinux的目录介绍

Android 12 上，高通的主目录分为两个，一个是QSSI， 一个是VENDOR,  QSSI下存放着Android原生的一些东西， VENDOR下放着厂商定制的东西。Selinux策略sepolicy在QSSI和VENDOR下都有，sepolicy分为原生sepolicy 和厂商自己定制的sepolicy

2.1 原生Sepolicy目录

请不要在原生的sepolicy目录下修改文件，否则会导致CTS失败。请在Sepolicy定制目录下根据需求添加。

根目录	子目录	编译后的生成路径	如果在这个目录下定义一个新的type，system/vendor访问限制
QSSI/system /sepolicy/	private	out/target/product/qssi/ system/etc/selinux	system可以访问，vendor无法访问
	public	out/target/product/qssi/ system/etc/selinux	system，vendor都可访问
	private/compat	------	当在system/sepolicy/public新增一个type的时候，需要在compat/api/api.ignore.cil中添加这个新增的标签,否则会编译失败

2.2 QSSI侧Sepolicy定制目录

QSSI侧Sepolicy定制目录,如果是我们自己添加Selinux策略，请添加到此处，

根目录	子目录	编译后的生成路径	如果在这个目录下定义一个新的type，system/vendor访问限制
QSSI/device/ qcom/sepolicy/ generic/	private	out/target/product/qssi/ system_ext/etc/selinux	system可以访问，vendor无法访问
	public	out/target/product/qssi/ system_ext/etc/selinux	system，vendor都可访问
	private/compat	-----	当在device/qcom/sepolicy/generic/public新增一个type的时候，需要在compat/api/api.ignore.cil中添加这个新增的标签,否则会编译失败

 2.3 VENDOR侧Sepolicy定制目录

VENDOR侧Sepolicy定制目录

根目录	子目录	编译后的生成路径	如果在这个目录下定义一个新的type，system/vendor访问限制
VENDOR/device/ qcom/ sepolicy_vndr/ generic/ vendor/	common 所有芯片共用的	out/target/product/qssi/ vendor/etc/selinux	vendor可以访问，system无法访问
	还有其他子目录，分别是不同的芯片不同的sepolicy

3. 一些使用场景的分析

3.1 假如我们的功能都实现在QSSI侧，实现的是一个系统服务, 我们想让它被vendor侧访问，应该在哪里添加type才能被vendor侧访问呢？

    答案是，在QSSI/device/qcom/sepolicy/generic/public下添加相关的type声明,并在QSSI/device/qcom/sepolicy/generic/private/compat/api/api.ignore.cil中添加这个新增的标签。

allow语句在哪里添加都可以

3.2 假如我们的功能都实现在VENDOR侧，实现的是一个hal服务, 我们想让它被system侧访问，应该在哪里添加type才能被system侧访问呢？

    答案是，在QSSI/device/qcom/sepolicy/generic/public下添加相关的type声明,并在QSSI/device/qcom/sepolicy/generic/private/compat/api/api.ignore.cil中添加这个新增的标签。

allow语句在哪里添加都可以

3.3 假如我们的功能都实现在QSSI侧，实现的是一个系统服务, 我们不想让它被vendor侧访问，应该在哪里添加type才能不被vendor侧访问呢？

答案是，在QSSI/device/qcom/sepolicy/generic/private下添加相关的type声明,并且只能在这个目录下添加相关allow语句。

3.4 假如我们的功能都实现在VENDOR侧，实现的是一个HAL服务, 我们不想让它被system侧访问，应该在哪里添加type才能不被system侧访问呢？

答案是，在VENDOR/device/qcom/sepolicy_vndr/generic/vendor/common下添加相关的type声明,并且只能在这个目录下添加相关allow语句。