diff options
Diffstat (limited to 'zh-cn/security/selinux/customize.html')
| -rw-r--r-- | zh-cn/security/selinux/customize.html | 14 |
1 files changed, 7 insertions, 7 deletions
diff --git a/zh-cn/security/selinux/customize.html b/zh-cn/security/selinux/customize.html index 995a10d1..3ef367ef 100644 --- a/zh-cn/security/selinux/customize.html +++ b/zh-cn/security/selinux/customize.html @@ -24,19 +24,19 @@ <aside class="note"><strong>注意</strong>:要详细了解如何在 Android 8.0 中自定义 SELinux,请参阅 <a href="/security/selinux/images/SELinux_Treble.pdf">SELinux for Android 8.0</a>。</aside> -<p>制造商不得移除现有的安全设置,否则可能会破坏 Android SELinux 实现及其管控的应用。这包括可能需要进行改进以符合政策并正常运行的第三方应用。应用必须无需进行任何修改即可继续在启用了 SELinux 的设备上正常运行。</p> +<p>制造商不得移除现有的安全设置,否则可能会破坏 Android SELinux 的实现及其管控的应用。这包括可能需要改进以符合政策并正常运行的第三方应用。应用必须无需进行任何修改即可继续在启用了 SELinux 的设备上正常运行。</p> -<p>当开始着手自定义 SELinux 时,制造商应记得做以下事情:</p> +<p>当开始自定义 SELinux 时,制造商应进行如下操作:</p> <ul> <li>为所有新的守护进程编写 SELinux 政策</li><li>尽可能使用预定义的域</li><li>为作为 <code>init</code> 服务衍生的所有进程分配域</li><li>在编写政策之前先熟悉相关的宏</li><li>向 AOSP 提交对核心政策进行的更改</li></ul> -<p>不要做以下事情:</p> +<p>避免如下操作:</p> <ul> <li>创建不兼容的政策</li><li>允许对最终用户政策进行自定义</li><li>允许对 MDM 政策进行自定义</li><li>恐吓违反政策的用户</li><li>添加后门程序</li></ul> -<p>要查看具体要求,请参阅 <a href="/compatibility/android-cdd.pdf">Android 兼容性定义文档</a>中的“内核安全功能”部分。<em></em></p> +<p><em></em>要查看具体要求,请参阅 <a href="/compatibility/android-cdd.pdf">Android 兼容性定义文档</a>中的“内核安全功能”部分。</p> <p>SELinux 采用白名单方法,这意味着只能授予政策中明确允许的访问权限。由于 Android 的默认 SELinux 政策已经支持 Android 开放源代码项目,因此原始设备制造商 (OEM) 无需以任何方式修改 SELinux 设置。如果他们要自定义 SELinux 设置,则应格外谨慎,以免破坏现有应用。以下是我们建议的做法:</p> @@ -213,7 +213,7 @@ read_policy</pre> </tr> <tr> <td> -<p>功能</p> +<p>权能</p> </td> <td> <pre> @@ -242,8 +242,8 @@ audit_control setfcap</pre> <p>以下准则旨在协助制造商在自定义过程中避免与 <code>neverallow</code> 规则相关的错误。此处使用的规则编号与 Android 5.1 中使用的编号一致,并且会因版本而异。</p> <p>规则 48:<code>neverallow { domain -debuggerd -vold -dumpstate --system_server } self:capability sys_ptrace;</code><br />请参阅 <code>ptrace</code> 的帮助页面。<code>sys_ptrace</code> 功能用于授予对任何进程执行 <code>ptrace</code> 命令的权限。拥有该权限后,可以对其他进程进行广泛的控制。应该只有该规则中列出的指定系统组件享有该权限。如果需要该功能,则通常表明存在的某些内容不适用于面向用户的版本或存在不需要的功能。请移除不必要的组件。</p> +-system_server } self:capability sys_ptrace;</code><br />请参阅 <code>ptrace</code> 的帮助页面。<code>sys_ptrace</code> 权能用于授予对任何进程执行 <code>ptrace</code> 命令的权限。拥有该权限后,可以对其他进程进行广泛的控制。只有该规则中列出的指定系统组件才能享有该权限。如果需要该权能,则通常表明存在的某些内容不适用于面向用户的版本或存在不需要的功能。请移除不必要的组件。</p> -<p>规则 76:<code>neverallow { domain -appdomain -dumpstate -shell -system_server -zygote } { file_type -system_file -exec_type }:file execute;</code><br />该规则旨在防止执行系统中的任意代码。具体来说就是,该规则声明仅执行 <code>/system</code> 中的代码,以便通过验证启动等机制实现安全保证。通常,在遇到与这个 <code>neverallow</code> 规则相关的问题时,最好的解决办法是将违规代码移到 <code>/system</code> 分区。</p> +<p>规则 76:<code>neverallow { domain -appdomain -dumpstate -shell -system_server -zygote } { file_type -system_file -exec_type }:file execute;</code><br />该规则旨在防止执行系统中的任意代码。具体来说,该规则声明仅执行 <code>/system</code> 中的代码,以便通过验证启动等机制实现安全保证。通常,在遇到与这个 <code>neverallow</code> 规则相关的问题时,最好的解决办法是将违规代码移到 <code>/system</code> 分区。</p> </body></html>
\ No newline at end of file |