O que você está procurando é chamado Controle de acesso obrigatório , ou MAC. O Android permite isso por padrão e é strongmente integrado às APIs do usuário, mas as tecnologias que estão na base do MAC no Android (ou seja, SELinux) são parte do kernel padrão do Linux. Além disso, existe um outro quadro para MAC chamado AppArmor, que o Android não usa, mas que tem características semelhantes.
Configurar o SELinux ou o AppArmor não é para os fracos de coração. No entanto, muitas distribuições são fornecidas com as políticas SELinux e / ou AppArmor padrão que você pode usar. Por exemplo, o Ubuntu vem com o AppArmor ativado por padrão, e o RHEL / CentOS vem com alguns conjuntos de regras do SELinux que você pode escolher, com o menos restritivo do conjunto sendo ativado por padrão. O Debian também tem um conjunto de regras do SELinux que vem com ele, mas não está habilitado por padrão, e não é tão bem testado com o SELinux.
A maioria das distribuições enviadas com o MAC ativado não tem um conjunto muito restritivo de regras; afinal de contas, se isso atrapalhar muito, as pessoas vão desativá-lo e você não colherá os benefícios. No entanto, é certamente possível habilitar um conjunto mais restritivo de regras - isso apenas significa que você pode precisar depurar as coisas um pouco mais, já que a maioria dos aplicativos na área de trabalho do Linux não são testados com o MAC ativado.
Um recurso de alguns conjuntos de regras do SELinux é o "sandbox do SELinux". Se você usar isso, os aplicativos executados dentro dele terão pouquíssimas permissões. Isso pode ser útil para testar um aplicativo sem o risco de se comportar mal e comer seus arquivos. Para mais informações, leia o link .