众所周知，自从Android4.3版本引入SeLinux后，这一新的安全机制会对进程的权限进行最小化的限制，以保证即使受到攻击，也不会对系统整体造成太大的影响。对于SeLinux的具体机制分析不是本文的重点，这里不做赘述。
       前阵子商务的同事送样机去客户处测试，客户方面为安全考虑提出需要关闭root，接到这样一个需求，因为我们的系统（Android5.1）并未开放superuser权限，只是把selinux给设置成宽容模式（permissive）,客户的需求就是要把selinux设置成强制模式（enforcing）。然而仅仅是修改模式是行不通的，在系统里面修改selinux的默认设置，代码编译是没有问题的。刷机测试会发现，系统开机的很多操作因为打开了selinux而导致无权限，致使机器无法开机进入launcher，所以需要重新定制自己策略文件。
       对于很多厂商而言，往往是直接关闭selinux了事，而不是详细的定制自己的安全策略，现在重新定制策略，工作量巨大。这里使用了一个折中的办法。首先系统默认的依然是permissive模式，自己写一个脚本，自己随便去一个名字，例如Selinux.sh

#!/system/bin/sh

setenforce 1 //设置为enforcing模式

放到device下面的某个目录，再在mk添加一句PRODUCT_COPY_FILES，将这个脚本复制到system/bin/下面

PRODUCT_COPY_FILES += \
    device/qcom/msm8909/Selinux.sh:system/bin/Selinux.sh

然后在一个开机自启动的APP的接收开机广播里加入代码，开机执行这个脚本，将设备的selinux设置成强制模式

try {
      Process p = Runtime.getRuntime().exec("su -s sh  -c /system/bin/Selinux.sh");
} catch (IOException e) {
      // TODO Auto-generated catch block
      e.printStackTrace();
}

这样的话，就实现了开机默认打开selinux的功能同时也规避了上面说的无法开机的问题。

安全策略配置

       开机打开selinux以后，自己的业务就有很多操作被拒绝权限，这样是不行的，所以接下来就是配置安全策略。把机器连上电脑，打开命令窗口，最好是linux系统，后面用得上，键入adb logcat，然后正常执行业务操作，会发现很多权限被拒绝的打印，例如这些，包括但不限于

W/JDWP ( 3990): type=1400 audit(0.0:258): avc: denied { connectto } for path=006A6477702D636F6E74726F6C scontext=u:r:location_app:s0 tcontext=u:r:su:s0 tclass=unix_stream_socket permissive=0
E/BatteryService( 5281): batteryStatus: true
W/JDWP ( 4053): type=1400 audit(0.0:259): avc: denied { connectto } for path=006A6477702D636F6E74726F6C scontext=u:r:nfc:s0 tcontext=u:r:su:s0 tclass=unix_stream_socket permissive=0
W/JDWP ( 3990): type=1400 audit(0.0:260): avc: denied { connectto } for path=006A6477702D636F6E74726F6C scontext=u:r:location_app:s0 tcontext=u:r:su:s0 tclass=unix_stream_socket permissive=0

把这些打印复制到一个avc.txt文件(文件名随便取)并保存，在命令窗口执行

audit2allow -i avc.txt -o avc.te

会生成一个.te的文件。这条命令会帮我们自动生成配置策略语句，打开这个.te文件，会有如下内容

#============= location_app ==============
allow location_app su:unix_stream_socket connectto;
#============= nfc ==============
allow nfc su:unix_stream_socket connectto;

按照生成的配置语句，在device下面找到相应的安全策略配置文件，第一个就是location_app.te，第二个就是nfc.te，并将下面的分别配置语句添加进去。如果没有对应的，自己新建一个配置文件，并将语句添加进去。这样我们的安全策略就配置完成了，然后重新编译系统，刷机就可以了。