Working with selinux on android

Как настроить автоматическое монтирование VeraCrypt томов при загрузке?¶

Откроем файл в :

sudoedit /etc/crypttab

Добавим в конец файла строку вида:

foo-bar UUID=XXXXXX /etc/keys/foo-bar.key tcrypt-veracrypt

Здесь foo-bar – внутреннее имя, которое будет использоваться dev-mapper, XXXXXX – , либо полный путь к файлу контейнера, /etc/keys/foo-bar.key – полный путь к ключевому файлу, либо файлу с паролем (разрыв строки в конце файла не ставится).

Откроем файл :

sudoedit /etc/fstab

Добавим в конец строку вида:

/dev/mapper/foo-bar /media/data auto defaults,x-systemd.automount 0 0

Здесь foo-bar – внутреннее имя, указанное ранее в crypttab, а /media/data – точка монтирования.

Как использовать токен для аутентификации SSH?¶

Сначала нам необходимо добавить в нашу ключевую пару особый ключ для аутентификации. По умолчанию он не создаётся.

Выведем список доступных ключевых пар:

gpg2 --list-secret-keys

Откроем наш основной ключ в режиме редактирования:

gpg2 --edit-key XXXXXXXXX

Здесь XXXXXXXXX – ID нашего ключа.

Добавим новый подключ:

addkey

В списке атрибутов оставим только Authentication и обязательно отключим Encrypt и Sign.

Выберем созданный подключ и переместим его на токен:

key 2
keytocard

Экспортируем публичный ключ SSH из созданного подключа для аутентификации:

gpg2 --export-ssh-key XXXXXXXXX --output ~/.ssh/id_rsa.pub

Здесь XXXXXXXXX – ID нашего ключа.

Активируем поддержку SSH агента в GnuPG агенте, добавив в конец файла следующую строку:

enable-ssh-support

Настроим автоматический запуск GnuPG агента вместе с системой, создав скрипт :

#!/usr/bin/sh
export GPG_TTY="$(tty)"
export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)
gpgconf --launch gpg-agent

Выдадим ему права на выполнение:

chmod +x ~/bin/gpg-agent.sh

Установка приложения по умолчанию для файлов разного вида

Описанный выше метод не подходит для установки андроид приложений по умолчанию для различных файлов. Чтобы система открывала файлы определенного типа (например, изображения) при помощи конкретных сервисов, нужно обратиться к другому способу.

Операционная система Андроид позволяет выбрать приложения по умолчанию для данных разного типа через файловые менеджеры (для этого подойдут как сторонние, скачанные из Play Market, так и стандартный).

Стандартный файловый менеджер, имеющийся в ОС Андроид, также можно использовать в этом случае. Открыть его можно через настройки и раздел «Хранилище и USB-накопители».

После того, как вы запустили файловый менеджер на андроид, необходимо открыть файлы нужного типа. Если программа по умолчанию для них не задана, то ОС Андроид предложит пользователю выбрать одну из списка подходящих программ. При нажатии галочки «Всегда» система запомнит выбор и будет открывать файлы этого типа установленной программой по умолчанию.

Если для этого вида данных уже было задан сервис, телефону потребуется произвести сброс настроек. Этот процесс мы подробнее рассмотрим дальше.

Define resource types, and label the resources

Define resource types

Use the  keyword and declare it in a  file. The suffix  stands for  and no surprise, type are defined in this file.

Specifically, in Android:

• Types for (normal) files are defined in the .
• Types for devices files are defined in the .
• Types for executables files are defined in individual domain files, e.g  for mediasever domain.

Here is the example for each type of te files:

Code snippet of :

Code snippet of :

Code snippet of , an example domain te file. (Domain  files also include other important things but at this moment, we’ll focus on the type definition only.)

A few takeaways:

• It is really a very fine-grained type system. Take a look at those different types of proc_xxx. Because of this fine-grained labeling, we can write accurate rules that will only allow a process to access a very narrow subset of resources, or even a single file, when that type labels only a single file.

• It is targeted and designed for Android. See the adb_data_file.

Label the resources

To label a resource is also called to create a  for a resource, or file contexts. The file contexts common to all devices are put in . Vendor specific file contexts should reside in . They will be combined together to generate the final file context during the build process.

Let’s take a look at the common file_contexts.

A few takeaways:

• It labels everything : normal file, device file, executables.
• It labels everywhere : rootfs, system, vendor, data partitions.
• It is tailed for Android, sometime its called SEAndroid.

The label follows form of . From the example shown above, you can tell type is the most important part, since the other part are same in Android at the moment.

To check the context for files use 

Контекст безопасности (метка, label) SELinux

Это набор данных состоящий из:

1. типа пользователя
2. роли
3. типа данных или домена процесса
4. уровней и категорий (используется только в специальных политиках MLS/MCS,
   в общих политиках эти значения установлены в полный доступ)

Контекст безопасности записывается в атрибуты файла (в файловой системе)
и создается при установке SELinux (операция labeling). Уже присвоенный
контекст безопасности может быть впоследствии изменен — операция transition.

Если файловая система не поддерживает запись меток SELinux (как например
NFS), тогда метки записываются отдельно от файлов, при этом связь между
файлами и метками происходит по путям файлов. Это может привести к «разрыву»
между файлом и его меткой в том случае если файл будет перемещен по другому
пути (например каталог с такими файлами будет перемонтирован в другую точку
монтирования).

Метка файла может оказаться неверной даже в случае если файловая система
поддерживает запись таких меток, но к файлу были неправильно применены
операции копирования или перемещения внутри файловой системы. Например при
копировании в другую папку файл может получить метку установленную для этой
папки (наследование меток), вместо той метки, которая у него была раньше

Поэтому важно правильно выполнять операции копирования и перемещения файлов
при использовании SELinux

Узнать контексты SELinux
можно используя стандартные команды с ключом -Z:

• ps -eZ :
  контекст SELinux для работающих
  программ (или для конкретной программы).
• ls -Z : контекст SELinux
  для файлов.
• id -Z : контекст SELinux
  для текущего пользователя.

Как разрешить заблокированные действия SELinux?¶

По умолчанию будет блокировать доступ к любым файлам, каталогам, сокетам, которые не разрешены в политиках для конкретного процесса. Это вызывает множество проблем, поэтому пользователи зачастую предпочитают , что в корне неверно. Вместо этого следует разобраться в причине блокировки и создать разрешающее правило.

Очистим журнал аудита для того, чтобы избавиться от предыдущих ошибок и случайно не позволить лишние действия, накопившиеся с момента его прошлой ротации:

sudo bash -c "cat /dev/null > /var/log/audit/audit.log"

Запустим приложение, модуль ядра и т.д., который вызывает срабатывание SELinux и блокировку доступа к ресурсу (файлу, каталогу, сокету). Как только это произойдёт, воспользуемся утилитой audit2allow для анализа журнала аудита, облегчающей создание новых разрешающих правил для SELinux:

sudo bash -c "cat /var/log/audit/audit.log | audit2allow -M foo-bar"

В результате работы данной утилиты будет создан новый модуль , в котором разрешаются действия, записи о запрещении которых были внесены в журнал auditd ранее.

Перед применением этого файла и созданием политики SELinux обязательно загрузим его в текстовый редактор и проверим корректность, т.к. в нем может содержаться больше разрешающих правил, чем требуется, а также присутствуют подсказки о том, как правильно настроить SELinux.

В сгенерированном файле модуля после комментария This avc can be allowed using one of the these booleans присутствует список переменных двоичного типа, установка которых поможет разрешить заблокированное действие. Справочную информацию можно получить из документации SELinux:

getsebool -a

Исправляем проблему в компьютере

Первым делом нужно удалить с компьютера накопившийся кэш – сейчас чрезмерное количество данных очень часто становится причиной, по которой не работает ВКонтакте.

Для этого достаточно зайти в меню своего браузера и в настройках найти функцию «удалить недавнюю историю». Разные браузеры располагают эту функцию в разных частях настроек, например, Яндекс – в истории; Google Chrome имеет специальную кнопку, позволяющую удалить кэш. Иногда, если ВК не грузится именно из-за нехватки оперативной памяти, так эту проблему исправляем быстро.

Как очистить кэш и куки (историю) в Яндекс браузереДалееДалееЕсли это не помогло, и всё ещё не работает ВКонтакте, можно попробовать открыть сайт в другом браузере – возможно, что-то произошло с программным скриптом, а справиться с этим способен только грамотный компьютерщик. Как вариант, имеющийся браузер можно удалить и установить заново, либо проверить на наличие перепрошивок и обновлений.

Переподключение интернета

Иногда причина, по которой не работает ВКонтакте – проблемы в интернет-соединении. В таком случае его необходимо перезапустить, просто остановив роутер и включив его заново. Сделать это можно и через компьютер – любое устройство сейчас позволяет включить и выключить интернет очень быстро.

Если всё ещё не работает ВКонтакте, исправляем проблему на ощупь – с подозрением на то, что на ваш компьютер пробрался вирус, ограничивающий доступ на сайт ВК, и в этом вся проблема. Но есть и хорошие новости: его, при нужной сноровке, можно удалить.

Как сбросить настройки по умолчанию на андроиде

Если требуется сбросить все конфигурации по умолчанию, то следует для каждого определенного действия отменить разрешение на открытие файлов той или иной программой. Сделать это вручную можно, но процесс долгий и муторный. К тому же, на некоторых телефонах этого нельзя сделать в принципе.

Обратите внимание! Есть устройства, которые могут это делать. К примеру, на Xiaomi такая функция имеется и находится в том же окне

Еще один радикальный способ решить все проблемы телефона и сбросить разрешения программного обеспечения — выполнить сброс настроек аппарата. Он вернет его к заводскому состоянию и поменяет все конфигурации на стандартные.

Для выполнения сброса параметров смартфона или планшета необходимо:

1. Разблокировать свое устройство.
2. Перейти на его рабочий стол и выбрать приложение «Настройки».
3. Найти раздел «Сброс и восстановление» и выбрать пункт «Сброс».
4. Согласиться со всеми условиями и запустить удаление настроек.
5. Дождаться выполнения операции и перезагрузки телефона.

Важно! Вследствие сброса все пользовательские файлы будут безвозвратно удалены, а это могут быть важные фотографии, заметки, игры, приложения, контакты. Перед выполнением сброса рекомендуется выполнять резервное копирование всей важной для пользователя информации на SD-карту или в облачное хранилище

Менять софт по умолчанию достаточно легко

Таким образом, было рассказано, как изменить окно «Открыть с помощью» на андроид и как сменить или убрать ПО, запускаемое в приоритете. Сложного ничего нет. Достаточно следовать представленным пошаговым инструкциям с оглядкой на свою модель устройства и версию операционной системы.

Как прошить устройство на Android

Работа с однофайловой и 5-файловой прошивками отличается незначительно.

У программы имеются несколько кнопок для выбора соответствующего файла прошивки:

• BL — bootloader (загрузчик) — грузим файл вида APBOOT_xxxxx.tar.md5 (будет присутствовать только в 5-файловой прошивке);
• AP или PDA, в зависимости от версии Odin — основной файл прошивки CODE_xxxxx.tar.md5 (в случае однофайловой — единственный);
• CP или PHONE — файл радиомодуля телефона MODEM_xxxxx.tar.md5;
• CSC — файл вида CSC_xxxxx.tar.md5;
• PIT — файл PIT, идёт в составе только сервисных 5-файловых прошивок. При его выборе в программе открываются дополнительные настройки разбивки внутренней памяти устройства. Прошивка с этим файлом удалит ВСЕ ДАННЫЕ на устройстве, а при неудачном завершении с вероятностью 99% получится «кирпич».

Установка 5-файловой сервисной прошивки

Если запись прошивки пройдет успешно, программа напишет PASS в левом верхнем углу окна и перезегрузит смартфон.

После этого:

1. Нажимаем в окне программы кнопку AP или PDA, в открывшемся окне выбираем файл *.img.
2. Нажимаем кнопку Start.

Если у вашего устройства версия Android 5 или выше, перед прошивкой нужно провести несколько манипуляций с самим смартфоном:

Загрузка кастомной прошивки

Установка кастомных прошивок через Odin — не самый лучший метод. Самый безопасный вариант — кастомная прошивка, собранная для установки из рекавери. Риски получить «кирпич» значительно ниже, чем при прошивке через Odin. Не ждите от «кастомов» чудес, они не сделают ваш старенький аппарат топовым. А по стабильности и энергопотреблению заводская прошивка всегда будет в лидерах.

Установка кастомной прошивки ничем не отличается от установки однофайловой заводской:

1. Нажимаем в окне программы кнопку AP или PDA, в открывшемся окне выбираем файл вида *.img.
2. В блоке опций включаем режим Auto Reboot.
3. Нажимаем кнопку Start.
4. При успешной записи прошивки программа напишет PASS в левом верхнем углу окна и смартфон автоматически перезагрузится.

Подготовка

Показать / Скрыть текст

• Скачайте прошивку из темы с прошивками для вашей модели
• Скачайте программу-прошивальщик (). Желательно выбирать версию поновее.
• Понадобится USB-кабель
• Перед прошивкой телефона зарядите его. Желательно полностью.
• Проверьте, не залочен ли аппарат. Если залочен — после прошивки он не примет вашу SIM-карту, даже если до этого все работало. Для проверки наберите *#7465625#
• Также не забудьте сохранить копию Телефонной книги, SMS и всего, что считаете нужным. Обычная прошивка не уничтожит эти данные, но подстраховаться не мешает. Кроме того, прошивка с вайпом и активированным re-partition удаляет все данные до заводского состояния. Комплектная программа Kies способна сохранить телефонную книгу, СМС и заметки. Телефонную книгу, Заметки и календарь также можно синхронизировать с помощью аккаунта Google в самом меню этих приложений. Прочие файлы (музыка, видео, приложения, прохождения игр) можно сохранить специальной программой, например, Titanium Backup , но для ее работы необходимы root-права
• Убедитесь, что у вас достаточно прямые руки

Rules in actions

sepolicy(.bin), file_context.bin and policy.conf

We have discussed a bunch of different files that are used to define the sepolicy.  files are used either to define type , or rules;  are used to label the resources. Those are all human readable files, for obvious reason. And, not surprise, a binary representation will be generated from those file for efficiency. Among the binary files, two important ones are  and , which are all end up in the root file system during the build process. And they will be used by selinux to enforce the rules.

The  is the output of , with an intermediate file called  as the input. In turn, the  is an aggregation of all the files, among others. And, a good news is that  is text based, so we can diff that to diagnose policy issues between two version change.

Apart from the  and , there are a few other files will be installed in either the rootfs or system partition during the build process, such as seapp_contexts, service_contexts and mac_permissions.xml. But we won’t go details in this tutorial.

CM Apps

Платформа: AndroidЦена: бесплатно

Прошивка CyanogenMod включает в себя множество качественных приложений и модификаций стокового софта: модифицированный стоковый лаунчер Trebuchet с дополнительными настройками и возможностью блокировки приложений, расширенный калькулятор с поддержкой функций и графиков, простой и удобный файловый менеджер с root-доступом, эквалайзер, доработанный музыкальный проигрыватель и другие.

Любое из этих приложений можно установить в стоковый Android, даже не имея root-доступа, но для этого придется искать или выдергивать их из других прошивок, да еще и угадывать с версией Android (приложения из CM 12 будут работать только в Android 5.0, например). Гораздо проще установить приложение CM Apps, с его помощью в два тапа скачать и установить нужную софтину. Права root не требуются, деньги тоже.

Способ №5: При помощи Explorer

• Скачайте из Google Play бесплатный файловый менеджер Root Explorer
• Перейдите в каталог «/system/app» и удалите 6 файлов описанных в способе 4.
• Перезагрузите ваш телефон

Теперь вы знаете самые простые методы как удалить Samsung Knox с смартфона или планшета. Если вы все таки решили оставить эту утилиту, можете скачать официальную инструкцию.

В версии Android 5.0 Lollipop компания Google по умолчанию активировала функцию SeLinux по умолчанию, что сильно усложнило возможность модификацию системного раздела! Как отключить? Читайте на !

Для тех кто любит модифицировать прошивку или необходимо встроить приложение компания Google крепко постаралась чтобы этого недопустить — активирована технология selinux , которая «ломает» файлы которые попадают в системный раздел, а также заимствованная у Samsung и модифицированная система безопасности на основе Knox . Все это создано для того чтобы мы простые пользователи не могли изменять системный раздел! Пора это исправить!

History of SELinux

SELinux was originally developed by the NSA to demonstrate the value of MAC and how it can be applied to Linux. It was merged in Linux 2.6 on Aug 2003. Red Hat, and McAfee Corp. are some of the significant contributors to the development of SELinux. Later on, a separate project called Security Enhancements (SE) for Android was led by the NSA to integrate SELinux into Android. This project resulted in SELinux becoming a core part of Android. It was introduced defaulting to Permissive mode in Android 4.3, optionally Enforcing in Android 4.4, and was required by Google’s CTS to be Enforcing in Android 5.0 and above.

Режимы работы SELinux

Permissive — разрешается нарушение
политики безопасности. Такие нарушения только регистрируются в системном
журнале. То есть по сути SELinux не работает, а только лишь фиксирует
нарушения политики безопасности.

Enforced — нарушения политики
безопасности блокируются.
SELinux работает полностью.

Переключение режимов работы выполняется командой setenforce с
параметром 1 (включить enforced) или 0
(включить permissive). Но если нужно чтобы
режим работы устанавливался сразу при загрузке системы, тогда редактировать файл /etc/selinux/config
(параметр SELinux=) который может принимать одно из трех значений — permissive,
enforced, disable (SELinux
отключен).

Команда sestatus позволяется узнать
текущий режим работы
SELinux.

Работа приложения

Во время ее запуска происходит проверка ядра операционки на предмет несанкционированного доступа.

По сути, наличие такой оболочки полностью исключает возможность посторонними лицами произвести изменения в ОС на предмет .

На деле так оно и происходит.

Однако, при общей положительной тенденции следует упомянуть и о недостатке, пусть даже и не значительном.

При установленной на смартфон программе KNOX отмечается некорректная работа root-доступа к устройству.

Однако, не каждому владельцу мобильного устройства Самсунг требуется получение данных прав.

После того, как закончится проверка ядра — программа «кнокс» осуществит контроль автоматически запускаемых приложений.

Благодаря этому будет принудительно прекращена активность тех из них, у которых отсутствует разрешение пользователя на работу в фоновом режиме.

Любое приложение, находящееся внутри защищенной оболочки, полностью управляется и контролируется на превышение имеющегося уровня доступа.

Данная возможность не позволяет той или иной программе получить доступ к несоответствующим ей функциям.

Сохранность корпоративных данных от несанкционированного копирования построена на (виртуальных частных сетей) в то время, когда домашние и публичные сети по-прежнему остаются незащищенными.

neverallow rules

SELinux rules prohibit behavior that should never occur.
With compatibility testing,
SELinux rules are now enforced across devices.

The following guidelines are intended to help manufacturers avoid errors
related to rules during customization. The rule numbers
used here correspond to Android 5.1 and are subject to change by release.

Rule 48:
See the man page for . The
capability grants the ability to any process, which allows a great deal
of control over other processes and should belong only to designated system
components, outlined in the rule. The need for this capability often indicates
the presence of something that is not meant for user-facing builds or
functionality that isn’t needed. Remove the unnecessary component.

Rule 76:
This rule is intended to prevent the execution of arbitrary code on the system.
Specifically, it asserts that only code on gets executed,
which allows security guarantees thanks to mechanisms such as verified boot.
Often, the best solution when encountering a problem with this
rule is to move the offending code to the
partition.

Как установить соответствие типов файлов определённым приложениям

В Windows многие программы предлагают такую возможность. Установить необходимые ассоциации можно и в среде Андроид. Предыдущий вариант для этих целей явно не подходит, поэтому мы будет использовать совсем другой сценарий.

Используя его, можно изменять открытие определённых файлов программой по умолчанию. Правда, используемое программное обеспечение должно поддерживать подобную возможность, но обычно с этим проблем не бывает.

ВАЖНО. Способ, который мы опишем ниже, пригоден только в том случае, если для данного типа файлов ассоциация в Андроид ещё не установлена

Если же приложение для открытия файлов данного типа уже задано, сначала необходимо выполнить сброс настроек по умолчанию и только после этого следовать нижеописанному алгоритму.

Чтобы установить в Андроид приложение для конкретных типов файлов по умолчанию, потребуется следующая последовательность действий:

• заходим в «Менеджер файлов», это приложение может быть как штатным, так и установленным пользователем из Google Play;
• ищем любой файл нужного типа (по расширению, например, .mp3);
• если ассоциация для него не была задана (то есть при клике на файле в менеджере плеер не открывается), для него можно назначить плеер по умолчанию;
• система попытается самостоятельно найти приложение, с помощью которого можно открывать файлы данного типа, и предложит вам выбрать из подходящих вариантов тот, который и окажется дефолтным.

Отметим, что вы можете установить любое число плееров для воспроизведения музыки, но процедура их переназначения потребует отмены предыдущего выбора, о чём мы расскажем ниже.

Кстати, похожий алгоритм применим и для настройки в Андроид браузера по умолчанию:

• открываем приложение, из которого возможен переход на сайт по внешней ссылке (метод может не работать в некоторых мессенджерах, использующих своё приложение для просмотра веб-страниц, WebView);
• ищем ссылку и кликаем на ней;
• появится окно с предложением выбрать браузер для открытия сайта;
• тапаем на кнопке «Открыть»;
• после выбора необходимого варианта кликаем на кнопке «Всегда», в итоге этот обозреватель станет основным.

Разумеется, этот способ не является в прямом смысле ассоциативным, поскольку не привязывает запуска приложения с конкретным типом файла (html, asp, php), но он вполне рабочий.

Stock SELinux policy as a reference

Every stock firmware/ROM has a SELinux policy inside specific partition images. The general location of the policy is . This means if you are looking for SELinux policy related to the system image, it would be available in , for vendor image, it would be in and so on. Remember that the partition path differs heavily depending upon the device. A developer when writing SELinux policy for their specific device may use this stock policy as a reference. This helps in not only speeding up the task of writing rules but also serves as a reference to which rule should be granted, which not, how to address specific cases, etc.

Революционная операционная система

Android Jelly Bean версии 4.1 вышла в конце июня 2012 г., заменив собой Ice Cream Sandwich (4.0). Появление Jelly Bean привнесло в Android массу нововведений, включая существенно переработанный интерфейс и поддержку частоты обновления экрана 60 кадров в секунду. В 2021 г. такая частота считается нормой.

Что умеет Android Jelly Bean

Система Jelly Bean развивалась вплоть до версии 4.3, вышедшей, как сообщал CNews, в конце июня 2013 г. От версии к версии , вопреки своей же традиции, не меняла второе название ОС – она по-прежнему носила кодовое имя Jelly Bean и лишь с выходом версии 4.4 в июне 2014 г. сменила его на KitKat.

Доля Jelly Bean стремительно сокращается

В список новшеств, которые появились в Android 4.1 Jelly Bean, входят поддержка подключения наушников и внешних динамиков по USB и улучшенная система уведомлений. В ноябре 2012 г. состоялся релиз версии 4.2 с модифицированным экраном блокировки, который стал заметно более функциональным. Начиная с этой версии, в Android появилась поддержка нескольких учетных записей на одном устройстве. Обновление до 4.3 Jelly Bean добавило в систему, помимо прочего, полностью новое приложение камеры и поддержку протокола Bluetooth Low Energy (LE).

Как сменить приложение по умолчанию на android

Итак, нам потребуется выполнить несколько простых действий:

Заходим в устройства. Для этого нужно выдвинуть шторку и после нажать на значок с шестерёнкой, либо, в зависимости от оболочки, установленной поверх ОС Андроид можно зайти в настройки через иконку на рабочем столе (или же перейти в меню, а уже после тапнуть по пункту .

Ищем пункт, который в большинстве случаев называется , нажимаем на него. Вы увидите все программы и игры, установленные на вашем устройстве.

В правом верхнем углу нужно нажать на и выбрать .

Чтобы сбросить программы, используемые по умолчанию для выполнения тех или иных действий, достаточно нажать на кнопку и подтвердить свой выбор.

Для изменения приложения, которое будет открывать, к примеру, для прослушивания музыки нужно выбрать пункт и далее в открывшемся списке указать плеер, через который будут воспроизводиться музыкальные файлы.

Никаких дополнительных действий выполнять не требуется.

Как вы уже догадались из вышеприведенной инструкции, в смене программы по умолчанию, нет ничего сложного. Названия некоторых пунктов меню могут отличаться в зависимости от установленной оболочки вашего устройства, но все они находятся примерно в одном и том же месте. Надеемся данная инструкциям вам помогла и теперь вы сможете быстро открывать файлы с нужным вам расширением через соответствующие приложения.

Glossary

• AOSP: Short for Android Open Source Project.
• AVC: Short for Access Vector Cache, the cache used by SELinux to store its decisions regarding access control.
• comm: Short for Communication.
• CTS: Compatibility Test Suite, Google’s test suite for device wishing to ship GMS.
• LSM: Short for Linux Security Modules, a framework which is part of Linux, allows supporting various security implementations.
• MAC: Short for Mandatory Access Control, a type of access control via which an OS constrains the ability of the initiator to perform the action in question.
• macros: A single instruction that expands into a set of instructions when called.
• NSA: Short for National Security Agency of the United States of America.
• regex: Short for Regular Expression.
• scontext: Short for Source Context, also referred to as Domain.
• SELinux: Short for Security-Enhanced Linux.
• SELinux policy: Policy used by SELinux which specifies a set of permissions.
• SoC: Short for System on Chip.
• tclass: Short for Target Class.
• tcontext: Short for Target Context.