SEAndroid - 在特定的安全域中運行應用程序

Question

我有一個沒有活動的應用程序（服務）。我想在init.rc啓動這個程序是這樣的：

service secret_service /system/bin/am startservice com.my.secret.service/com.my.secret.service.SecretService 
    class late_start 
    user root 
    group root 

如果運行上面的一樣，這項服務在「platform_app」安全上下文中運行。 Howerver，我想在不同的安全環境中運行這個，比如「mysecurity」。我已經嘗試使用像這樣的標籤：

service secret_service /system/bin/am startservice com.my.secret.service/com.my.secret.service.SecretService 
    class late_start 
    user root 
    group root 
    seclabel u:r:mysecurity:s0 

但它不起作用。有沒有人有一個想法如何實現這一目標？

謝謝。

Answer 1

你應該在mac_permissions.xml項，其中應用程序簽名證書映射到一個seinfo值，並在seapp_contexts相應的條目，其中seinfo值映射到一個域。另外，如果您的域名不是標準域名之一，那麼您也可以在策略構建時創建external/sepolicy中的適當類型實施文件（例如，mysecurity.te）。