SeLinux全称为安全增强式 Security-Enhanced Linux（SeLinux），是一个在内核的强制存取控制（MAC）安全性机制。SeLinux的整体架构和原理都比较简单，使用也不复杂，其复杂的地方在于规则非常复杂，每个进程都要有规则策略；

呱牛笔记

图片来源:https://www.cnblogs.com/klb561/p/14411953.html

SeLinux 遵从最小权限的理念，在开启SeLinux的情况下（enforcing 模式），所有访问默认是被拒绝的，而有一系列例外的策略来允许系统的元素（服务、进程、用户）具备访问资源的权限，例外的策略通过类型强制描述文件进行描述。不同于基于用户和角色的权限访问控制，Selinux的规则可以做到，与用户/角色没有关系，策略针对每一个可运行的进程进行配置，很好的避免了越权访问的问题，但正因为麻烦，所以很多服务器上默认是关闭了Selinux配置；

Linux内核提供了一个安全模块框架层，这个公共框架类似于文件系统中的VFS。它为调用者提供统一的接口。之所以要提供统一接口是因为Linux内核不仅仅支持SELinux安全特性，还支持Apparmor等很多安全特性。以打开文件为例，当我们调用内核中打开文件的接口是，在其内部会调用security_file_open函数。该函数就是Linux内核安全框架（LSM）的公共接口。然后该函数通过函数指针的方式调用所有注册到LSM的安全模块。以SELinux为例，最终会调用到selinux_file_open函数。

呱牛笔记

图片来源:https://www.cnblogs.com/klb561/p/14411953.html

TE: TYPE ENFORECE 规则类型强制策略；

用来描述SeLinux规则的文件就是TE文件,TE 规则是将权限与程序的访问结合在一起;

一个简单的 AV 规则有：

规则名称，源类型，目标类型，客体类别和许可操作，如：

allow user_t bin_t : file execute;

这个 allow 规则的源类型为 user_t，目标类型为 bin_t，客体类别 file，许可 execute，这个规则可以解读为"允许 user_t 执行类型为 bin_t 的文件"。

规则名称包括：

allow 表示允许主体对客体执行允许的操作。

dontaudit 表示不记录违反规则的决策信息，且违反规则不影响运行。

auditallow 表示允许操作并记录访问决策信息。

neverallow 表示不允许主体对客体执行指定的操作

如auditallow 规则，只需要替换掉规则名称即可：

auditallow user_t bin_t : file execute;

源类型通常是进程名，目标类型则是操作的客体类别

|-------------------------|-------- | 与文件有关的客体类别 | | che_file | | dir | | fd | | fifo_file | | file | | filesystem | | lnk_file | | sock_file | | | 与网络有关的客体类别 | | association | | key_socket | | netif | | | netlink_dnrt_socket | | | | | | | | netlink_soecket | | netlink_xfrm_socket | | Netlink | | node | | packet_socket | | rawip_socket | | tcp_socket | | udp_socket | | unix_dgram_socket | | unix_stream_socket | IPC有关的客体类别 | | msg | | msgq | | sem | | shm | 其它杂类客体类别 | | process | | security | | system | | | 文件客体类别 | | append | | create | | entrypoint* | | execmod* | | execute | | execute_no_trans* | | ioctl | | link | | lock | | mounton | | quotaon | | swapon | | relabelfrom | | relabelto | | rename | | setattr | | getattr | | unlink | | write | | read | | | | | 进程许可类别 | process | execheap | {read.execute, getattr} | execmem | | execstack | | fork | | getattr | | setcap | | getcap | | setpgid | | getpgid | | setsched | | getsched | | getsession | | noatsecure | | ptrace | | rlimitnh | | setcurrent | | setexec | | setfscreate | | setrlimit | | share | | siginh | | sigkill | | sigchld | | signal | | signull | | sigstop | | transition -----------------------|--------------------------------------------| | blk_file | 块文件 | | 字符文件 | | 目录 | | 文件描述符 | | 命名管道 | | 普通文件 | | 文件系统（如一个真实的分区） | | 符号链接 | | UNIX域套接字 | | | | | | | IPSec安全联盟 | | PF_KEY协议家族的套接字、用于管理IPSec中的密钥 | | 网络接口如eth0 | | netlink_audit_socket | 用于控制审核的Netlink套接字 | | 用于控制DECnet路由的Netlink套接字 | | netlink_firewall_socket | 用于创建用户空间防火墙过滤器的Netlink套接字 | | netlink_ip6fw_socket | 用于创建用户空间防火墙过滤器的Netlink套接字 | | netlink_kobject_uevent_socket | 用于创建用户空间接收内核事件通知的Netlink套接字 | | netlink_route_socket | 用于控制和管理网络资源如路由表和IP地址的Netlink套接字 | | netlink_selinux_socket | 用于接收策略载入通知，强制模式切换和清空AVC缓存的Netlink套接字 | | netlink_tcpdiag_socket | 用于监视TCP连接的Netlink套接字 | | 所有其它的Netlink套接字 | | 用于获取、管理和设置 IPsec 参数的 | | 套接字 | | 代表一个 IP 地址或一段 IP 地址的主机 | | 协议在用户空间执行的原始套接字 | | 既不是 TCP 也不是 UDP 的 IP 套接字 | | TCP 套接字 | | UDP 套接字 | | 本地机器上（unix 域）的 IPC 数据报套接字 | | 本地机器上（unix 域）的 IPC 流套接字 | | ipc | 已经没有使用了 | | 消息队列中的消息 | | 消息队列 | | 信号量 | | 共享内存段 | | capability | Linux中标识权利的特权 | | Selinux中的进程 | | 内核中的Selinux安全服务器 | | 整个系统 | | | | file | | | 附加到文件内容（即用 o_append 标记打开） | | 创建一个新文件 | | 通过域转换，可以用作新域的入口点的文件 | | 使被修改过的文件可执行（含有写时复制的意思） | | 执行，与标准 Linux 下的 x 访问权一致 | | 在访问者域转换的执行文件（即没有域转换） | | ioctl（2）系统调用请求 | | 创建一个硬链接 | | 设置和清除文件锁 | | 用作挂载点 | | 允许文件用作一个限额数据库 | | 不赞成使用。它用于将文件当做换页/交换空间 | | 从现有类型改变安全上下文 | | 改变新类型的安全上下文 | | 重命名一个硬链接 | | 改变文件的属性，如访问模式（例如：chmod，部分 ioctls） | | 获取文件的属性，如访问模式（例如：stat，部分ioctls） | | 移除硬链接（删除） | | 写入文件内容，对应标准 Linux 下的 w 访问权 | | 读取文件内容，对应标准 Linux 下的 r 访问权 | | | | | | dyntransition | 允许进程动态地转移到新的上下文中 | | 产生一个堆栈可执行体 | | 产生一个匿名的映像、堆栈和堆的创建，或可写的私有文件映像可执行体 | | 产生进程堆栈可执行体 | | 派生两个进程 | | 通过/proc/[pid]/attr/目录获取进程的属性 | | 为进程设置允许的 Linux 能力 | | 获取这个进程允许的 Linux 能力 | | 设置进程的组进程 ID | | 获取进程的组进程 ID | | 设置进程的优先级 | | 获取进程的优先级 | | 获取进程的会话 ID | | 禁用清除安全模式环境，允许进程在 execve(2)上禁用glibc 的安全模式特性 | | 跟踪程序执行的父进程或子进程 | | 在 execve(2 上)继承进程资源限制 | | 设置当前的进程上下文，当进程试图执行一个动态域转换时，这是第一个检查的能力 | | 下一次调用 execve(2)时覆盖默认的上下文 | | 允许进程设置由其创建的客体的上下文 | | 改变进程硬性资源限制 | | 允许与克隆的或派生的进程共享状态 | | 在 execve(2)上继承信号状态 | | 发送 sigkill 信号 | | 发送 sigchld 信号 | | 发送一个非 sigkill，sigstop 或 sigchld 的信号 | | 不发送信号测试另一个进程的存在性 | | 发送 sigstop 信号 | | 在 execve(2)上转换到一个新的上下文 |

特殊类型 self

策略语言保留了一个关键字 self，它用于 AV 规则中的目标区域，可以当做一个类型使

用，如下面这两条规则是相等的：

这两条规则是相等的

allow user_t user_t : process signal;

allow user_t self : process signal

2021/07/22更新：Android系统对Selinux的配置，关键搞清楚如何配置新增进程的规则：

SELinux 依靠标签来匹配操作和政策。标签用于决定允许的事项。套接字、文件和进程在 SELinux 中都有标签。
SELinux 在做决定时需参照两点：
一是为这些对象分配的标签；
二是定义这些对象如何交互的政策；

标签采用以下形式表示：user:role:type:mls_level，其中 type 是访问决定的主要组成部分，可通过构成标签的其他组成部分进行修改。对象会映射到类，对每个类的不同访问类型由权限表示。

域(domain)：一个进程或一组进程的标签。也称为域类型，因为它只是指进程的类型。
域的声明使用

type backup_t;

政策规则采用以下形式：
allow domains types:classes permissions;，其中：
domains - 一个进程或一组进程的标签。也称为域类型，因为它只是指进程的类型。
types - 一个对象（例如，文件、套接字）或一组对象的标签。
classes - 要访问的对象（例如，文件、套接字）的类型。
permissions- 要执行的操作（例如，读取、写入）。
使用政策规则时将遵循的结构示例：
allow appdomain app_data_file:file rw_file_perms;
表示所有应用域都可以读取和写入带有 app_data_file 标签的文件。请注意，该规则依赖于在 global_macros 文件中定义的宏，您还可以在 te_macros 文件中找到一些其他非常实用的宏。
可以通过属性引用一组域或类型。简单来说，属性是一组域或类型的名称。每个域或类型都可以与任意数量的属性相关联。当编写的规则指定了某个属性名称时，该名称会自动扩展为列出与该属性关联的所有域或类型。例如，domain 属性与所有进程域相关联，file_type 属性与所有文件类型相关联。
属性与类型关联
type http_user_content_t,file_type;

type httpd_user_content_t, file_type, httpdcontent;

typeattribute 语句，这个语句允许我们在声明类型时单独关联属性
#下面是两条语句
type httpd_user_content_t;
typeattribute httpd_user_content_t file_type,
httpdcontent;

参考：https://www.cnblogs.com/klb561/p/14411953.html

2021/08/31更新

策略文件的加载，核心就是通过security_load_policy接口，对用户空间传进来的te镜像文件进行解析并加载（见：https://blog.csdn.net/bruk_spp/article/details/107283935）

init进程上下文的恢复，selinux.cpp的SetupSelinux方法中会执行selinux_android_restorecon

avc:access vector cache,用来缓存MAC访问控制策略，在进行策略检查的时候，先到avc中进行检查，如果没有找到，则进行根据安全上下文进行计算，将结果缓存到AVC中:

security/selinux/avc.c

struct avc_entry {

u32ssid;

u32tsid;

u16tclass;