SEAndroid 介绍及其基本实现原理

1. 什么是SEAndroid

    SEAndroid（Security-Enhanced Android）是有美国国家安全局（NSA）开发的开源安全项目，是在谷歌Android 开源软件的基础上开发而来，主要是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux，移植到Android平台上。通过SELinux的MAC安全机制强化Android操作系统对App的存取控管，建立基于角色的安全管控机制，确保Android 内核及上层应用程序的安全运行。

    SELinux 是 2.6 版本的 Linux内核中提供的强制访问控制(MAC）系统。对于目前可用的 Linux安全模块来说，SELinux 是功能最全面，而且测试最充分的，它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念。SELinux 是美国国家安全局「NSA=The National Security Agency」 和SCC（Secure Computing Corporation）开发的 Linux的一个扩张强制访问控制安全模块，2000年以 GNU GPL 发布。

    

2. SEAndroid 的核心理念及工作原理

   SEAndroid的核心理念是基于角色的访问控制（Role-based access control，RBAC）是通用的安全模型，可以通过把角色分配给用户然后把权限分配给这些角色来简化管理。RBAC 在 Security-Enhanced Linux (SELinux) 中用作用户与底层类型增强（Type Enforcement，TE）模型之间的抽象层，用于提供细粒度的访问控制，但是并不是针对简化管理。

                       

                                        

3. SEAndroid 源代码下载及编译

3.1 源代码下载

    git clone https://bitbucket.org/seandroid/manifests.git
    mkdir seandroid
    cd seandroid
    repo init -u https://android.googlesource.com/platform/manifest
    repo sync
    cp ../manifests/local_manifest.xml .repo
    repo sync

3.2 源代码编译

为了可以在Nexus  5机器上运行，我们将编一个可以在Nexus  5上可以运行的调试版本。

编译之前请根据http://source.android.com/source/initializing.html 的要求对本地环境进行配置。

默认为Host 为Ubuntu x64位版本。

配置完成后执行下面命令，完成对seandriod的编译。

$cd seandroid

$. build/envsetup.sh

$lunch

选择hammerhead_userdebug 选项，

$make [-j8]

4. SEAndriod 在Nexus 5上的烧写及功能验证

     完成编译后，将在seandroid/out/target/product/hammerhead/下生产可以烧写到Nexus  5上的镜像文件。

     此时，连接Nexus  5手机，如果手机未解锁，需先解锁手机。

     解锁过程如下：

     1. 关闭nexus 5手机，同时按下开机+Volume up+Volume Down，手机进入烧写模式。

     2. 连接手机到Ubuntu

     3. 执行

            $fastboot unlock

        完成对手机的解锁。

     烧写编译好的seandroid 镜像。

     $fastboot -w flashall

     烧写完成后，nexus 5会自动重启，进入seandroid的系统界面。