Selinux 之SeAndroid学习杂记

版权说明:本文为 开开向前冲 原创文章,转载请注明出处;
注:限于作者水平有限,文中有不对的地方还请指教

1. SContext 安全上下文

根据SELinux规范,标准的SContext字符串格式为:

user:role:type[:range]
  1. 查看进程的SContext :ps -Z,
    ps -Z.png

    android 中进程的user 为 u,u在/external/sepolicy/users中定义;
    android 中进程的role 为 r,r在/external/sepolicy/roles中定义;
    type 是进程的domain type,一般是在进程对应的te中指定,例如进程/system/bin/sh对应的te文件在/external/sepolicy/shell.te中有 type shell, domain, mlstrustedsubject;
    [:range]代表可选,这里是s0;这里不做详解;
------> /external/sepolicy/users
user u roles { r } level s0 range s0 - mls_systemhigh;

------> /external/sepolicy/roles
role r;
role r types domain;

------> /external/sepolicy/shell.te
# Domain for shell processes spawned by ADB or console service.
type shell, domain, mlstrustedsubject;#指定shell 进程属于domain域为shell
type shell_exec, exec_type, file_type;

  1. 查看文件的SContext:ls -Z


    ls -Z.png

    android 中进程的user 为 u,u在/external/sepolicy/users中定义;同进程一样
    android 中文件的role 为 object_r;android 中对于"死东西"(文件)都用object_r来表示role;
    type 是文件的domain type;一般定义在/external/sepolicy/file.te中,例如:type rootfs, fs_type;
    [:range]代表可选,这里是s0;

SeAndroid 编译生效检查:修改.te文件后,(前提是先编译过android)remake android,编译成功后去到/out/target/product/xxxx/obj/ETC/sepolicy_intermediates/目录下的policy.conf文件中看看你的修改是否有效;如果有效,则证明你的修改成功,再make boot img,make boot img会将上述目录中的sepolicy打包进boot.img,这样刷boot.img就能验证你的修改是否有效;

Selinux核心思想就是最小权限原则,即主体对客体拥有的权限必须要通过allow语句定义才允许,否则的话,一切都是禁止的。

安全上下文中,只有 类型(Type)才是最重要的,SELinux用户、SELinux角色和安全级别都几乎可以忽略不计的。正因为如此,SEAndroid安全机制又称为是基于TE(Type Enforcement)策略的安全机制 ——摘自老罗

SEAndroid中,通常将标注文件的安全上下文的类型称为file_type,将标注进程的安全上下文的类型称为domain,每一个用于描述文件上下文的类型都将file_type 设置为其属性,每一个用于描述进程安全上下文的类型都将domain设置为其属性。
可以通过 type 语句实现将一个类型设置为另一个类型的属性:

type printerserver, domain; #### 将domain 设置为printerserver的属性
type persist_file, file_type;  #### 将file_type设置为persist_file的属性

上述语句也表明用 printerserver描述的类型描述的是进程的安全上下文;
persist_file描述的类型描述的是文件的安全上下文;

Linux Android系统中第一个启动的进程是init进程。Init进程启动过程中,执行了很多的系统初始化工作,其中就包括初始化SEAndroid安全策略的工作,如下所示:init.c的main方法中会调用selinux_initialize方法初始化Selinux,可以通过修改is_enforcing的值(0或者1)来控制是否禁掉Selinux。

------>/system/core/init/init.c

static void selinux_initialize(void)
{
    if (selinux_is_disabled()) {
        return;
    }

    INFO("loading selinux policy\n");
    if (selinux_android_load_policy() < 0) {
        ERROR("SELinux: Failed to load policy; rebooting into recovery mode\n");
        android_reboot(ANDROID_RB_RESTART2, 0, "recovery");
        while (1) { pause(); }  // never reached
    }

    selinux_init_all_handles();
    bool is_enforcing = selinux_is_enforcing();
    INFO("SELinux: security_setenforce(%d)\n", is_enforcing);
    security_setenforce(is_enforcing);//is_enforcing控制是否禁掉Selinux
}

下面说说/external/sepolicy/目录下几个重要的文件;

attritbutes:属性文件,定义了Selinux的属性;

------> attritbutes
######################################
# Attribute declarations
# All types used for devices.
attribute dev_type;
# All types used for processes.
attribute domain; ###是不是很熟悉,我们在定义进程 Type 时都要指定这个属性
# All types used for filesystems.
attribute fs_type;
......

device.te:描述Linux 设备 Type

------>device.te
# Device types
type device, dev_type, fs_type;
type alarm_device, dev_type, mlstrustedobject;
type adb_device, dev_type;
type ashmem_device, dev_type, mlstrustedobject;
type audio_device, dev_type;
type binder_device, dev_type, mlstrustedobject;
type block_device, dev_type;
type camera_device, dev_type;
type dm_device, dev_type;
......

file.te:描述Linux 文件 Type

------> file.te
# Persist file types
type persist_file, file_type;
type persist_data_file, file_type;
type persist_drm_file, file_type;
......

file_contexts:文件file_contexts通过正则表达式来描述系统文件的安全上下文,Linux系统中一切皆文件,前面的device.te和file.te中都都有指定设备和文件Type,这些Type是怎么和系统中的设备和文件关联的呢?就是通过file_contexts文件;

------> file_contexts
###################################
# data files
#
/data/connectivity(/.*)?                                            u:object_r:cnd_data_file:s0
/data/data_test(/.*)?                                               u:object_r:data_test_data_file:s0
/data/diag_log(/.*)?                                                u:object_r:diag_data_file:s0
/data/hlos_rfs(/.*)?                                                u:object_r:rfs_shared_hlos_file:s0
/data/camera(/.*)?                                                  u:object_r:camera_socket:s0
/data/system/sensors(/.*)?                                          u:object_r:sensors_data_file:s0
/data/time/*                                                        u:object_r:time_data_file:s0
/data/nfc(/.*)?                                                     u:object_r:nfc_data_file:s0
/data/system/perfd(/.*)?                                            u:object_r:mpctl_data_file:s0
......

根据SELinux规范,完整的 allow 相关的语句格式为:

rule_name source_type target_type : class perm_set
allow zygote shell_data_file:dir search;###这句话表示允许Zygote 进程对shell_data_file类型的 dir 进行search;
这里的 dir 和 search称为object class和perm set,即可以在object class对象上进行perm set操作;object class定义在security_classes中,perm set定义在access_vectors中;

security_classes:定义被保护的object class对象,例如file,dir,fd等;

------> security_classes
# Define the security object classes
# file-related classes
class filesystem
class file
class dir
class fd
class lnk_file
class chr_file
class blk_file
class sock_file
class fifo_file

access_vectors:定义security_classes中object class对象具有哪些perm set;

------> access_vectors
#
# Define a common prefix for file access vectors.
#
common file
{
    ioctl
    read
    write
    create
    getattr
    setattr
    lock
    relabelfrom
    relabelto
    append
    unlink
    link
    rename
    execute
    swapon
    quotaon
    mounton
}
......

上面说明了可以对被保护的 file 进行ioctl read write create等操作;

mac_permissions.xml:

<?xml version="1.0" encoding="utf-8"?>
<policy>
    <!-- Platform dev key in AOSP -->
    <signer signature="@PLATFORM" >
      <seinfo value="platform" />
    </signer>

    <!-- All other keys -->
    <default>
      <seinfo value="default" />
    </default>
</policy>

文件mac_permissions.xml给不同签名的App分配不同的seinfo字符串,例如,在AOSP源码环境下编译并且使用平台签名的App获得的seinfo为“platform”,使用第三方签名安装的App获得的seinfo签名为"default"。这里的setinfo并不是安全上下文的Type;但是系统会根据这个setinfo到external/sepolicy/seapp_contexts中去查找和和setinfo 对应的类型;

seapp_contexts:根据setinfo查找对应应用的安全上下文 Type;

------> seapp_contexts
# Input selectors:
#   isSystemServer (boolean)
#   user (string)
#   seinfo (string)
#   name (string)
#   path (string)
#   sebool (string)
# isSystemServer=true can only be used once.
# An unspecified isSystemServer defaults to false.
# An unspecified string selector will match any value.
# A user string selector that ends in * will perform a prefix match.
# user=_app will match any regular app UID.
# user=_isolated will match any isolated service UID.
# All specified input selectors in an entry must match (i.e. logical AND).
# Matching is case-insensitive.
#
# Precedence rules:
#     (1) isSystemServer=true before isSystemServer=false.
#     (2) Specified user= string before unspecified user= string.
#     (3) Fixed user= string before user= prefix (i.e. ending in *).
#     (4) Longer user= prefix before shorter user= prefix.
#     (5) Specified seinfo= string before unspecified seinfo= string.
#     (6) Specified name= string before unspecified name= string.
#     (7) Specified path= string before unspecified path= string.
#     (8) Specified sebool= string before unspecified sebool= string.
#
# Outputs:
#   domain (string)
#   type (string)
#   levelFrom (string; one of none, all, app, or user)
#   level (string)
# Only entries that specify domain= will be used for app process labeling.
# Only entries that specify type= will be used for app directory labeling.
# levelFrom=user is only supported for _app or _isolated UIDs.
# levelFrom=app or levelFrom=all is only supported for _app UIDs.
# level may be used to specify a fixed level for any UID.
#
isSystemServer=true domain=system_server
user=system domain=system_app type=system_app_data_file
user=bluetooth domain=bluetooth type=bluetooth_data_file
user=nfc domain=nfc type=nfc_data_file
user=radio domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell domain=shell type=shell_data_file
user=_isolated domain=isolated_app
user=_app seinfo=platform domain=platform_app type=app_data_file
user=_app domain=untrusted_app type=app_data_file

这里我保留了文件的全部内容,文中注释很重要;
前面mac_permisssions.xml 中指定使用平台签名的应用setinfo 为platform,所以在seapp_contexts中最匹配的一行为:

user=_app seinfo=platform domain=platform_app type=app_data_file

这样就可以知道,使用平台签名的App进程domain为“platform_app”,它的数据文件的file_type为“app_data_file”。

第三方签名的应用的seinfo为 "default",但是在seapp_contexts并没有以 user=_app seinfo=default开头的行,但是有一行最匹配:

user=_app domain=untrusted_app type=app_data_file

这样就知道了第三方App进程的domain 为 "untrusted_app",它的数据文件的file_type为"app_data_file";

global_macros,te_macros:一些宏定义文件;

------> te_macros
# upon executing its binary.
define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)
tmpfs_domain($1)
')
#####################################
# app_domain(domain)
# Allow a base set of permissions required for all apps.
define(`app_domain', `
typeattribute $1 appdomain;
# Label ashmem objects with our own unique type.
tmpfs_domain($1)
# Map with PROT_EXEC.
allow $1 $1_tmpfs:file execute;
')
......

property_contexts:和file_contexts类似,这里初始化属性的安全上下文;

-----> property_contexts
##########################
# property service keys
#
#
net.rmnet               u:object_r:net_radio_prop:s0
net.gprs                u:object_r:net_radio_prop:s0
net.ppp                 u:object_r:net_radio_prop:s0
net.qmi                 u:object_r:net_radio_prop:s0
net.lte                 u:object_r:net_radio_prop:s0
net.cdma                u:object_r:net_radio_prop:s0
net.dns                 u:object_r:net_radio_prop:s0
sys.usb.config          u:object_r:system_radio_prop:s0
ril.                    u:object_r:radio_prop:s0
gsm.                    u:object_r:radio_prop:s0
persist.radio           u:object_r:radio_prop:s0
.......

还有很多的文件,这里就不逐一分析了,遇到问题就明白了,这里举两个例子;
/external/sepolicy目录下是Google 针对整个平台的限制,一般都不会修改;自己的修改一般都在/device/qcom/sepolicy目录;
这里针对qcom平台:/device/qcom/sepolicy/

例1:为一个进程添加Selinux 访问权限;

步骤如下:
1:在/device/qcom/sepolicy/common目录下创建一个和进程名一样的.te文件;例如hello进程对应的hello.te;在hello.te中使用type声明该进程的 domain Type;

------> hello.te
type hello, domain; ### 声明该进程的domain Type 为 hello
type hello_exec, exec_type, file_type; ###这里说明hello进程可执行文件的 Type为hello_exec,
#### 这里需要去file_contexts中去配置相关类型;
init_daemon_domain(hello) ###必须实现
binder_use(hello)
binder_service(hello)

allow hello hello_service:service_manager add;###hello_service需要向service.te中注册,
allow hello system_server:binder call;
allow hello platform_app:binder call;
allow hello device:sock_file write;
allow hello untrusted_app:binder call;
allow hello system_app:dir search;
allow hello system_app:file { open read getattr };
......

因为这里注册的是Service 还需要去service.te和service_contexts中添加对应内容,如果不需要提供跨进程服务就不需要添加;

-------> service.te
......
type hello_service,   service_manager_type; ####声明系统服务的Type 为hello_service,属性为service_manager_type
......
------> service_contexts
......
servicePackageName   u:object_r:hello_service:s0   ####servicePackageName是服务的包名,
### 这里和hello.te中的allow hello hello_service:service_manager add;有关
......
------> file_contexts
......
/system/bin/hello     u:object_r:hello_exec:s0 
### hello_exec用于hello.te中的type hello_exec, exec_type, file_type;中
......

2:将步骤1中的hello.te字符串添加到/device/qcom/sepolicy/下的Android.mk文件BOARD_SEPOLICY_UNION := \ 标签中编译;

BOARD_SEPOLICY_UNION := \
                        ......
                        hello.te
                        ......

是不是很简单,这样我们就添加完成了Hello进程的访问权限;

例2:为一个文件添加访问控制;

步骤1:由于是为文件添加访问权限;所以我们需要声明该文件的Type;文件Type 在需要在file.te和file_contexts中声明;file_contexts中声明该文件位置;

------> file.te 
#Hello data files /data/hello
......
type hello_data_file, file_type, data_file_type;
......

------> file_contexts
......
/data/hello(/.*)?                                               u:object_r:hello_data_file:s0
......

这样我们就算是为文件添加了权限,对于这个文件,有哪些文件需要去访问呢?这里我们不妨假定为platform app需要访问这个文件;

接下来我们就在platform_app.te中添加相关权限;

------> platform_app.te
# allow access /data/hello/
......
allow platform_app hello_data_file:file { open getattr read };
allow platform_app hello_data_file:dir { search };
......

这样我们就为一个文件添加了访问控制;添加Linux 设备也是类似,对于设备配置只是去device.te和file_contexts添加类似于文件类型的东西;因为Linux 一切皆文件,设备也是文件,所以需要在file_contexts中为指定路径配置设备 Type;

到这里初步说明了一般在Android中会用到的Selinux 场景,很多深的东西还需要进一步研究;这里只是一个皮毛;

下面几个不错的博客;我也是参考他们的博客学习

深入理解SELinux 之SEAndroid
修改domain.te导致CTS不过解决方案-SELinux报错修改篇
file_contexts.bin和file_contexts转换工具,支持7.0~8.0
老罗说Selinux
TE语言规则
TE规则

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 175,490评论 5 419
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 74,060评论 2 335
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 124,407评论 0 291
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 47,741评论 0 248
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 56,543评论 3 329
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 43,040评论 1 246
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 34,107评论 3 358
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 32,646评论 0 229
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 36,694评论 1 271
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 32,398评论 2 279
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 33,987评论 1 288
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 30,097评论 3 285
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 35,298评论 3 282
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 27,278评论 0 14
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 28,413评论 1 232
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 38,397评论 2 309
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 38,099评论 2 314

推荐阅读更多精彩内容