SEAndroid 策略文件 ping.te

最近在研究SEAndroid，略懂皮毛，发几篇帖子和大家交流下

ping.te

type ping, domain;
permissive ping;
type ping_exec, file_type;
domain_auto_trans(shell, ping_exec, ping)
unconfined_domain(ping)

分析：

type ping, domain;	type type_name [ alias alias_set ] [, attribute_set] ; 这里定义了一个新类型ping，具有属性domain
permissive ping;	ping域采用permission模式。 Android的SELinux 策略容许可以基于每个域来设置SELinux mode。root域与root进程（init,installd,vold）被设置为enforcing 模式。应用域留在permissive模式。
type ping_exec, file_type;
domain_auto_trans(shell, ping_exec, ping)	domain_auto_trans is a macro defined in the file te_macros。意思是在执行type=ping_exec的文件时，自动将进程从shell域转换到ping域。
unconfined_domain(ping)	unconfined_domain定义在te_macros，将ping 关联到属性mlstrustedsubject，unconfineddomain，从而容许ping 域不受约束。 在此语句结束后，类型ping有了三个属性: domain,mlstrustedsubject,unconfineddomain # Allow the specified domain to do anything. define(`unconfined_domain', ` typeattribute $1 mlstrustedsubject; typeattribute $1 unconfineddomain; ')

总结：

     本策略文件定义了无限制域ping，使用permissive模式。用户在shell中执行类型为ping_exec的文件时，可以自动进入ping域。