SEAndroid-在特定安全域中运行应用程序

Question

我有一个没有活动的应用程序(服务)。我想在init.rc中启动此应用程序，如下所示：

service secret_service /system/bin/am startservice com.my.secret.service/com.my.secret.service.SecretService
    class late_start
    user root
    group root

如果像上面那样运行，此服务将在"platform_app“安全上下文中运行。然而，我想在一个不同的安全上下文中运行它，比如"mysecurity“。我已经尝试过像这样使用seclabel：

service secret_service /system/bin/am startservice com.my.secret.service/com.my.secret.service.SecretService
    class late_start
    user root
    group root
    seclabel u:r:mysecurity:s0

但它不起作用。有谁知道如何做到这一点吗？

谢谢。

Answer 1

您应该在mac_permissions.xml中创建一个条目，它将应用程序签名证书映射到一个seinfo值，并在seapp_contexts中创建一个相应的条目，它将seinfo值映射到一个域。此外，如果您的域不是标准域，那么您还必须在external/sepolicy中创建适当的类型强制文件(例如，mysecurity.te)，以便在策略构建时包含在内。