SEAndroid简介
SEAndroid简介http://blog.csdn.net/modianwutong/article/details/43114883 SEAndroid是Google在Android4.4上正式推出的一套以SELinux为核心的系统安全机制。而SELinux则是由NSA(美国国安局)在Linux社区的帮助下设计的一个针对Linux的安全强化系统。 NSA最
SEAndroid简介
SEAndroid是Google在Android4.4上正式推出的一套以SELinux为核心的系统安全机制。而SELinux则是由NSA(美国国安局)在Linux社区的帮助下设计的一个针对Linux的安全强化系统。
NSA最初设计的安全模型叫FLASK,全称为FluxAdvanced Security Kernel(由Uta大学和美国国防部开发,后来由NSA将其开源),当时这套模型针对DTOS系统。后来NSA觉得Linux更具发展和普及前景,所以就在Linux系统上重新实现了FLASK,并称之为SELinux。
SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,在LinuxKernel中,SELinux通过LSM(LinuxSecurity Modules)实现。在2.6以前的版本,SELinux通过patch方式发布。从2.6开始,SELinux正式进入内核,成为标配。
由于Linux有多种发行版本,所以各家的SELinux表现形式也略有区别,具体到Android平台,Google对其进行了一定的修改,从而得到SEAndroid。
SEAndroid架构
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
接下来,我们就来看一下SEAndroid安全机制的整体框架,如下所示:图1.SEAndroid安全机制框架
从上面的架构图可以看出来,SEAndroid安全机制包含用户空间和内核空间两部分,内核空间主要涉及LSM内核安全模块,用户空间包括SecurityContext,Security Policy等模块。这些模块的作用和交互如下:
1)LSM提供了一种通用的安全框架,允许将安全模型以模块方式载入内核,除了selinux外,linux还支持tomoyo,yama等安全模型;
2)AVC是一个策略缓存,当进程试图访问系统资源的时候,kernel中的安全策略服务将会先在AVC中查找策略,如果没有命中,则会到安全服务器中查找,找到了,则权限被缓存,允许访问,如果没找到,则拒绝访问;
3)SecurityPolicy描述系统资源的安全访问策略,系统启动时init进程负责把策略文件加载到内核的LSM模块中;
4)SecurityContext描述系统资源的安全上下文,SELinux的安全访问策略就是在安全上下文的基础上实现的;
5)libselinux为用户空间提供了SELinux文件系统访问接口;
SEAndroid策略
DAC和MAC
SELinux出现之前,Linux的安全模型叫DAC,全称是DiscretionaryAccess Control,翻译为自主访问控制。DAC的核心思想很简单,就是:
进程理论上所拥有的权限与运行它的用户权限相同。比如,以root用户启动shell,那么shell就有root用户的权限,在Linux系统上能干任何事。
显然DAC的管理太宽松了,所以各路高手都想方设法要在Android上搞到root权限。事实上su就是通过修改uid(0)和gid(0)的方式来取得root权限的。那么SELinux又是如何解决这个问题的呢?原来,它在DAC之外,设计了一个新的安全模型,叫做MAC(MandatoryAccess Control),翻译为强制访问控制。MAC的处世哲学非常简单,即:
任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。来看一个SEAndroid中设置权限的例子:
[external/sepolicy/netd.te]
allow netd sysfs:file write;
如果没有在netd.te中使用上例中的权限配置语句,那么netd就无法往sys目录下的任何文件中写入数据,即使netd具有root权限。 上面这条表示允许(Allow)netd域(Domain)中的进程写(Write)sysfs类型(Type)的文件;
显然,MAC比DAC在权限管理方面要复杂,严格和细致得多。
那么,关于DAC和MAC,两者是什么关系呢?
1)Linux系统先做DAC检查。如果没有通过DAC权限检查,则操作直接失败。通过DAC检查之后,再做MAC权限检查;
2)SELinux中也有用户的概念,但它和Linux中原有的user概念不是同一个东西。什么意思呢?比如,Linux中的超级用户root在SELinux中可能就是一个没权限,没地位,打打酱油的“路人甲”。当然,这一切都是由SELinux安全策略来决定的。
通过上面内容的学习,各位应该能够感觉到,在SELinux中,安全策略文件是最重要的,确实如此,学习SELinux的终极目标应该是:
1)看懂现有的安全策略文件;
2)编写符合项目需求的安全策略文件;
SELinux有自己的一套规则来编写安全策略文件,这套规则被称为SELinux安全策略语言,它是掌握SELinux的重点;
安全属性
Linux中有两种东西,一种死的(Inactive),一种活的(Active)。死的东西就是指文件(Linux哲学,万物皆文件),而活的东西就是进程。此处的“死”和“活”是一种比喻,映射到软件层面的意思就是:进程能发起动作,例如它能打开并操作文件,而文件只能被进程操作。
SELinux中,每种东西都会被赋予一个安全属性,它就是SecurityContext,Security Context(以下简称SContext,安全上下文或安全属性)是一个字符串,主要由三部分组成。例如在SEAndroid中,进程的SContext可以通过PS-Z命令查看,如下:
u:r:init:s0 root 464 1 /system/bin/sh
u:r:healthd:s0 root 240 1 /sbin/healthd
u:r:lmkd:s0 root 241 1 /system/bin/lmkd
u:r:servicemanager:s0 system 242 1 /system/bin/servicemanager
u:r:vold:s0 root 243 1 /system/bin/vold
u:r:surfaceflinger:s0 system 244 1 /system/bin/surfaceflinger
1)u为user的意思:SEAndroid中定义了一个SELinux用户,值为u; 最左边那一列就是进程的SContext,以第一个进程/system/bin/sh的SContex为例,其值为u:r:init:s0:
2)r为role的意思:role是角色之意,它是SELinux中一种比较高层次,更方便的权限管理思路,即RoleBased Access Control(基于角色的访问控制,简称RBAC)。简单点说,一个user可以属于多个role,不同的role具有不同的权限。
3)init代表进程在init域(Doamin)中。MAC的基础管理思路其实不是上面的RBAC,而是所谓的TypeEnforcement Access Control(简称TEAC,一般用TE表示)。对进程来说Type就是Domain,比如init这个Domain有什么权限,都需要在策略文件(init.te)中定义。
4)s0和SELinux为了满足军用和教育行业而设计的Multi-LevelSecurity(MLS)机制有关。简单点说,MLS将系统的进程和文件进行了分级,不同级别的资源需要对应级别的进程才能访问。
再来看看文件的SContext,这里我们用ls -Z来查看,如下:
drwx------ root root u:object_r:rootfs:s0 root
-rw-r--r-- root root u:object_r:rootfs:s0 service_contexts
drwxr-x--x root sdcard_r u:object_r:rootfs:s0 storage
dr-xr-xr-x root root u:object_r:sysfs:s0 sys
drwxr-xr-x root root u:object_r:system_file:s0 system
倒数第二列就是文件和目录的SContext信息,以第一行root目录为例,其值为u:object_r:rootfs:s0: 再来看看文件的SContext,这里我们用ls-Z来查看,如下:
1)u还是user的意思;
2)object_r:文件是死的东西,它没办法扮演任何角色,所以在SELinux中,所有死的东西都用object_r来表示它的role;
3)rootfs代表文件的类型(Type),和进程的Domain其实是一个意思。它表示root目录对应的Type是rootfs;
4)s0:MLS的级别;
根据SELinux规范,完整的SContext字符串为:
user:role:type[:range]
注意:方括号中的内容表示可选项。S0属于range中的一部分。
SContext的核心其实是前三个部分:user:role:type
前面说了,MAC的管理核心是TEAC,然后是高一级的RBAC。RBAC是基于TE的,而TE也是SELinux中最主要的部分,下面我们就来看看TE。
安全策略
我们再来看看前面提到的权限设置语句:
allow netd sysfs:file write;
1)allow:表示授权。除了allow之外,还有allowaudit、dontaudit、neverallow等; 这条语句的语法为:
2)netd:sourcetype,也叫Domain,Subject。
3)sysfs:targettype,它代表其后的file所对应的Type。
4)file:objectclass,它代表能够给Domain操作的对象。例如file、dir、socket等,Android中SecurityClass的定义在security_classes中。在Android系统中,有一些特殊的Class,如property_service,binder等。
5)write:在该类objectclass中所定义的操作,例如file类支持ioctl,read,write等操作。access_vectors中定义了所有objectclass支持的操作。
根据SELinux规范,完整的allow语句格式为:
rule_name source_type target_type:class perm_set;
1)如果有多个source_type,target_type,class或perm_set,可以用”{}”括起来; 注意:使用allow语句的时候,可以使用下面的一些小技巧来简化命令书写;
2)”~”号,表示除了”~”以外;
3)”-”号,表示去除某项内容;
4)”*”号,表示所有内容
下面就让我们先看几个例子吧:
Example 1:
allow appdomain zygote_tmpfs:file read;
允许appdomain域的进程对zygote_tmpfs类型的文件(file)执行read操作;
rule_name:allow;
soruce_type:appdomain;
target_type:zygote_temfs;
object_class:file;
access_vector:read;
Example 2:
allow zygote appdomain:process { getpgid setpgid };
允许zygote域的进程对appdomain类型的进程执行getpgid和setpgid操作;
rule_name:allow;
soruce_type:zygote;
target_type:appdomain;
objectclass:process;
accessvector:getpgid setpgid;
“{}”中的内容表示一组type或perm_set,使用”{}”可以简化allow语句的书写,如果不用”{}”,上例就需要两条allow语句来分别设置setpgid和getpgid操作,类似的例子还有很多:
Example 3:
# 允许bluetooth域的进程对tun_device, uhid_device, hci_attach_dev类型的
# 字符文件(chr_file)执行读写操作;
allow bluetooth { tun_device uhid_device hci_attach_dev }:chr_file { read write }
# 允许appdomain域的进程对app_data_file类型的文件(file)和链接(lnk_file)
# 执行create操作;
allow appdomain app_data_file:{ file lnk_file } { create }
Example 4:
allow init {
shell_data_file
app_data_file
}:{ chr_file file } ~{entrypoint execute_no_trans execmod execute relabelto};
Example4中使用了”~”符号,表示允许init域的进程对shell_data_file,app_data_file类型的字符文件(chr_file),普通文件(file)执行除了entrypointexecute_no_trans execmod execute relabelto以外的操作;
Example 5:
allow init { file_type -system_file }:dir relabelto;
”-”符号表示去除某项,即允许init域的进程对file_type类型中除了system_file类型外的目录执行relabelto操作;
file_type其实是一个类型的集合,所有文件相关的类型都可以包含在这个集合中,如system_file,system_data_file,apk_data_file等,SELinux之所以有类型集合的概念也是为了简化安全策略语言的书写,如上例所示,所有对file_type类型设置的权限策略,都适用于包含在file_type集合中的所有类型,也就是说init域的进程可以对包含在file_type集合中的所有类型(system_data_file,apk_data_file等)的目录执行relabelto操作,system_file类型除外。 ”-”符号表示去除某项,即允许init域的进程对file_type类型中除了system_file类型外的目录执行relabelto操作;
Example 6:
allow system_server self:netlink_selinux_socket *;
”*”符号表示所有内容,即system_server域的进程能够对system_server类型执行所有netlink_selinux_socket类相关的操作;
self表示targettype与source type相同,这时就不用再重复写一遍sourcetype了,用self代替就可以了;
好,下面来个稍微复杂点的:
Example 7:
neverallow {
domain -keystore
} keystore_data_file:dir ~{ open create read getattr setattr search relabelto };
简单来说就是不允许除keystore域外的其它域对keystore_data_file类型的目录执行open,create等操作;特别注意,前面提到权限必须显示声明,没有声明的话默认就没有权限。那么neverallow语句就没有存在的必要了,因为“无权限”是不需要声明的。确实如此,neverallow语句的作用只是在生成安全策略文件时进行检查,判断是否有违反neverallow语句的策略存在。
下面我们为init_shell添加对keystore_data_file类型目录访问的权限,显然这是违反Example7中neverallow规则的,那么,在生成安全策略文件时就检测到了冲突,如下:
out/host/linux-x86/bin/checkpolicy: loading policy configuration from out/target/product/xxx/obj/ETC/sepolicy_intermediates/policy.conf libsepol.check_assertion_helper: neverallow on line 24 of external/sepolicy/keystore.te (or line 7122 of policy.conf) violated by allow init_shell keystore_data_file:dir { open };
Error while expanding policy
make: *** [out/target/product/xxx/obj/ETC/sepolicy.recovery_intermediates/sepolicy.recovery] Error 1
在编译policy.conf时,检测到有违反keystore.te第24行neverallow规则的allow语句存在;从编译日志也能看出来,安全策略文件保存在obj/ETC/sepolicy_intermediates目录下;
看了上面几个例子,是不是觉得安全策略语言很简单啊,下面让我们再深入一点,看看allow语句各个字段的含义吧。
1.Rule Name
rule_name一共有四种,定义如下:
1)allow:赋予某项权限;
2)allowaudit:audit含义就是记录某项操作,默认情况下SELinux只记录那些权限检查失败的操作。allowaudit则使得权限检查成功的操作也被记录。注意:allowaudit只是允许记录,它和赋予权限没有关系。赋予权限必须且只能使用allow语句。
3)dontaudit:对那些权限检查失败的操作不做记录;
4)neverallow:检查安全策略文件中是否有违反该项操作的allow语句;
2.Type
SELinux是基于Domain-Type的强制类型访问模型,Domain其实也是Type,它只是对进程类型的习惯称呼,和Type相关的命令主要由三个:
1)type:类型声明,type命令的完整格式为:
type type_id [attribute_id][attribute_id] …;
其中方括号中的内容为可选项,attribute_id表示与type_id相关联的属性;
下面的例子定义了一个名为shell的type,它和一个名为domain的属性(attribute)关联:
type shell, domain;
type sysfs, fs_type, sysfs_type;
注意:一个type可以关联多个attribute;
2)attribute:属性由attribute关键字声明,属性其实是一个特殊的type,可以把属性看成是type的集合,为属性设置的策略,适用于所有与该属性相关联的type,如下:
attribute fs_type; # 声明fs_type属性
attribute sysfs_type; # 声明sysfs_type属性
# 允许init进程对sysfs_type类型集合的所有目录,文件执行relabelto操作
allow init sysfs_type:{ dir file lnk_file } relabelto;
注意:attributes文件中定义了SEAndroid中使用的所有属性;
3)typeattribute:可以在定义type的时候,直接将其和某个attribute关联起来,也可以单独通过typeattribute命令将某个type和某个或多个attribute关联起来,如下:
Typeattribute system mlstrustedsubject;
特别注意:对于初学者而言,attribute和type的关系最难理解,因为”attribute”这个关键字实在没取好名字,很容易产生误解:
a)实际上,type和attribute位于同一个命名空间,即不能用type命令和attribute命令定义相同名字的东西;
b)其实,attribute真正的意思应该是类似typegroup这样的概念。比如将type A和attributeB关联起来,就是说type A属于attributeB中的一员;
使用attribute有什么好处呢?一般而言,系统会定义数十或数百个type,每个type都需要通过allow语句来设置相应的权限,这样我们的安全策略文件编写起来就会非常麻烦。有了attribute之后呢,我们可以将这些type与某个attribute关联起来,把这些type共有的权限,通过一条allow语句来设置:
# 定义两个type,分别是t_a和t_b,它们都需要设置对t_c类型文件的读操作;
# 首先,把t_a和t_b关联到attr_test
type t_a, attr_test;
type t_b, attr_test;
# 通过一条allow语句为attr_test设置对t_c类型文件的读权限
allow attr_test t_c:file read;
好了,现在t_a和t_b域的进程拥有了对t_c类型文件的读权限
3.Object Class
ObjectClass声明了进程要操作的对象类,security_classes文件定义了SEAndroid中用到的所有class;
class关键字用于声明objectclass类型:
# file-related classes
class file # 文件
class dir # 目录
class fd # 文件描述符
class lnk_file # 链接文件
class chr_file # 字符设备文件
class blk_file # 块设备文件
… …
# network-related classes
class socket
class tcp_socket
class udp_socket
… …
class binder # Android平台特有的binder
class zygote # Android平台特有的zygote
… …
class property_service # Android平台特有的属性服务
4.Perm Set
perm_set指的是某种ObjectClass所拥有的操作,以file类而言,就包括open,read, write等操作;和Object Class一样,SEAndroid所支持的permset的声明在access_vectors文件中;
SELinux规范中,定义permset有两种方式:
1)common:其命令的格式为:
commoncommon_name { permission_name … }
以下是file类对应的权限(permset),大部分各位都能猜出来是干什么的:
common file {
ioctl read write create getattr setattr lock relabelfrom relabelto
append unlink link rename execute swapon quotaon mounton }
2)class:除了common外,还有一种class命令也可以设置permset,class命令可以继承common定义的permset;
class命令的完整格式为:
class class_name [inherits common_name] {permission_name … }
inherits表示继承某个common定义的权限,如下:
class dir inherits file {
add_name remove_name reparent search rmdir open audit_access
execmod }
RBAC(选读)
绝大多数情况下,SELinux的安全策略需要我们编写各种各样的te文件。由前文可知,.te文件内部应该包含了各种allow, type等语句。这些都是TEAC,属于SELinux MAC中的核心组成部分
在TEAC之上,SELinux还有一种基于角色的安全策略,也就是RBAC。RBAC到底是如何实施相关权限控制的呢?我们先来看看SEAndroid中Role和User的定义。
Android中只定义了一个role,就是r,把r和domain类型关联起来:
role r;
role r types domain;
再来看user的定义:
user u roles { r } level s0 range s0 - mls_systemhigh;
声明useru,并且和role r关联起来,level表示u的安全级别,s0为最低级,也就是默认的级别。mls_systemhigh表示u所能获得的最高安全级别;
那么,Role和User之间有什么样的权限控制呢?
在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。
标记安全上下文
前面陆陆续续的讲了些SELinux中最常见的东西,不过细心的人可能会问这样一个问题:这些安全属性(SContext)最开始是怎么赋给这些死的和活的东西呢?
在SELinux中,设置或分配SContext给进程或文件的工作叫做SecurityLabeling,土语叫打标签。
Android系统启动后,init进程会调用selinux_android_load_policy接口,将一个编译完的安全策略文件传递给内核,内核可根据其中的相关信息来初始化SELinux相关模块;接着init进程会调用selinux_android_restorecon接口,根据context文件中的信息为系统打标签;
context文件中显示声明了系统中各种资源的安全属性,下面就来看看SEAndroid中用到的几种context文件:
1.为文件或文件系统打标签
1)file_contexts:为系统中的各种文件,目录设置初始的SContext,如下:
/dev(/.*)? u:object_r:device:s0
/dev/akm8973.* u:object_r:sensors_device:s0
/dev/accelerometer u:object_r:sensors_device:s0
/dev/adf[0-9]* u:object_r:graphics_device:s0
/dev/alarm u:object_r:alarm_device:s0
/dev/android_adb.* u:object_r:adb_device:s0
/dev/ashmem u:object_r:ashmem_device:s0
/dev/audio.* u:object_r:audio_device:s0
… …
/system(/.*)? u:object_r:system_file:s0
/system/bin/sh -- u:object_r:shell_exec:s0
/system/bin/run-as -- u:object_r:runas_exec:s0
/system/bin/bootanimation u:object_r:bootanim_exec:s0
2)fs_use:描述SELinux的Labeling信息在不同文件系统时的处理方式。对于常规文件系统,SContext信息保存在文件节点(inode)的属性中,系统可以通过getattr函数从inode中读取到文件的安全属性。
fs_use_xattr关键字表示SContext是永远性的保存在文件系统中:
# Label inodes via getxattr.
fs_use_xattr yaffs2 u:object_r:labeledfs:s0;
fs_use_xattr jffs2 u:object_r:labeledfs:s0;
fs_use_xattr ext2 u:object_r:labeledfs:s0;
fs_use_xattr ext3 u:object_r:labeledfs:s0;
fs_use_xattr ext4 u:object_r:labeledfs:s0;
3)genfs_contexts:文件系统还可以使用genfscon关键字来打标签,如下:
# Label inodes with the fs label.
genfscon rootfs / u:object_r:rootfs:s0
… …
genfscon proc / u:object_r:proc:s0
genfscon proc /net u:object_r:proc_net:s0
… …
genfscon sysfs / u:object_r:sysfs:s0
genfscon vfat / u:object_r:vfat:s0
genfscon debugfs / u:object_r:debugfs:s0
genfscon fuse / u:object_r:fuse:s0
2.为property打标签
SEAndroid还增加为property打标签的功能,如下property_contexts文件:
ril. u:object_r:radio_prop:s0
gsm. u:object_r:radio_prop:s0
… …
sys. u:object_r:system_prop:s0
sys.powerctl u:object_r:powerctl_prop:s0
… …
* u:object_r:default_prop:s0
3.为service打标签
SEAndroid还支持为service打标签,使用”getprop| grep init.svc”命令,可以查看系统中所有服务的运行状态,系统服务的安全上下文,详见service_context;
4.为app打标签
为app打标签,mac_permissions.xml根据apk签名设置app的seinfo,AndroidL只识别platform签名,其它都是default:
<!-- Platform dev key in AOSP -->
<signer signature="@PLATFORM" >
<seinfo value="platform" />
</signer>
<!-- All other keys -->
<default>
<seinfo value="default" />
</default>
接下来seapp_contexts根据seinfo和user来为app打标签;
user=system domain=system_app type=system_app_data_file
user=bluetooth domain=bluetooth type=bluetooth_data_file
… …
# 三方的apk,如果有platform签名,则运行在platform_app域
user=_app seinfo=platform domain=platform_app type=app_data_file
# 三方的apk,如果没有platform签名,则运行在untrusted_app域
user=_app domain=untrusted_app type=app_data_file
域转换
SEAndroid中,init进程的SContext为u:r:init:s0(在init.rc中使用” setcon u:r:init:s0”命令设置),而init创建的子进程显然不会也不可能拥有和init进程一样的SContext(否则根据TE,这些子进程也就在MAC层面上有了和init进程一样的权限)。那么这些子进程是怎么被打上和父进程不一样的SContex呢?
在SELinux中,上述问题被称为DomainTransition,即某个进程的Domain切换到一个更合适的Domain中去。DomainTransition也是在安全策略文件中配置的,而且有相关的关键字。
这个关键字就是type_transition,表示类型转换,其完整格式如下:
type_transition source_type target_type : class default_type
表示source_type域的进程在对target_type类型的文件进行class定义的操作时,进程会切换到default_type域中,下面我们看个域转换的例子:
type_transition init shell_exec:process init_shell
这个例子表示:当init域的进程执行(process)shell_exec类型的可执行文件时,进程会从init域切换到init_shell域。那么,哪个文件是shell_exec类型呢?从file_contexts文件能看到,/system/bin/sh的安全属性是u:object_r:shell_exec:s0,也就是说init域的进程如果运行shell脚本的话,进程所在的域就会切换到init_shell域,这就是DomainTransition(简称DT)。
请注意,DT也是SELinux安全策略的一部分,type_transition不过只是开了一个头而已,要真正实施成功这个DT,还至少需要下面三条权限设置语句:
# 首先,你得让init域的进程要能够执行shell_exec类型的文件
allow init shell_exec:file execute;
# 然后,你需要告诉SELinux,允许init域的进程切换到init_shell域
allow init init_shell:process transition;
# 最后,你还得告诉SELinux,域切换的入口(entrypoint)是执行shell_exec类型的文件
allow init_shell shell_exec:file entrypoint;
看起来挺麻烦,不过SELinux支持宏定义,我们可以定义一个宏,把上面4个步骤全部包含进来。在SEAndroid中,所有的宏都定义在te_macros文件中,其中和DT相关的宏定义如下:
# 定义domain_trans宏,$1,$2,$3代表宏的第一个,第二个…参数
define(`domain_trans', `
allow $1 $2:file { getattr open read execute };
allow $1 $3:process transition;
allow $3 $2:file { entrypoint open read execute getattr };
… …
')
# 定义domain_auto_trans宏,这个宏才是我们在te中直接使用的
define(`domain_auto_trans', `
# Allow the necessary permissions.
domain_trans($1,$2,$3)
# Make the transition occur by default.
type_transition $1 $2:process $3;
')
呵呵,是不是简单多了,domain_trnas宏在DT需要的最小权限的基础上还增加了一些权限,在te文件中可以直接用domain_auto_trans宏来显示声明域转换,如下:
domain_auto_trans(init, shell_exec, init_shell)
类型转换
除了DT外,还有针对Type的Transition(简称TT)。举个例子,假设目录A的SContext为u:r:dir_a,那么默认情况下,在该目录下创建的文件的SContext就是u:r:dir_a,如果想让它的SContext发生变化,那么就需要TypeTransition。
和DT类似,TT的关键字也是type_transition,而且要顺利完成Transition,也需要申请相关权限,废话不多说了,直接看te_macros是怎么定义TT所需的宏:
# 定义file_type_trans宏,为Type Transition申请相关权限
define(`file_type_trans', `
allow $1 $2:dir ra_dir_perms;
allow $1 $3:notdevfile_class_set create_file_perms;
allow $1 $3:dir create_dir_perms;
')
# 定义file_type_auto_trans(domain, dir_type, file_type)宏
# 该宏的意思就是当domain域的进程在dir_type类型的目录创建文件时,该文件的SContext
# 应该是file_type类型
define(`file_type_auto_trans', `
# Allow the necessary permissions.
file_type_trans($1, $2, $3)
# Make the transition occur by default.
type_transition $1 $2:dir $3;
type_transition $1 $2:notdevfile_class_set $3;
')
模式切换
SELinux支持Disabled,Permissive,Enforce三种模式;
Disabled就不用说了,此时SELinux的权限检查机制处于关闭状态;
Permissive模式就是SELinux有效,但是即使你违反了它的安全策略,它让你继续运行,但是会把你违反的内容记录下来。在策略开发的时候非常有用,相当于Debug模式;
Enforce模式就是你违反了安全策略的话,就无法继续操作下去。
在Eng版本使用setenforce命令,可以在Permissive模式和Enforce模式之间切换。
相关命令
SELinux是经过安全强化的Linux操作系统,一些原有的命令都进行了扩展,另外还增加了一些新的命令,下面让我们看看经常用到的几个命令:
1)ls -Z命令
查看文件,目录的安全属性:
root@xxx:/ # ls –Z
drwxr-x--x root sdcard_r u:object_r:rootfs:s0 storage
dr-xr-xr-x root root u:object_r:sysfs:s0 sys
drwxr-xr-x root root u:object_r:system_file:s0 system
… …
2)ps -Z命令
查看进程的安全属性:
root@xxx:/ # ls -Z
u:r:rild:s0 radio 272 1 /system/bin/rild
u:r:drmserver:s0 drm 273 1 /system/bin/drmserver
u:r:mediaserver:s0 media 274 1 /system/bin/mediaserver
u:r:installd:s0 install 283 1 /system/bin/installd
3)chcon命令
更改文件的安全属性
root@xxx:/ # ls -Z /dev/tfa9890 crw-rw---- media media u:object_r:audio_device:s0 tfa9890 root@xxx:/ # chcon u:object_r:device:s0 /dev/tfa9890 root@xxx:/ # ls -Z /dev/tfa9890 crw-rw---- media media u:object_r: device:s0 tfa9890 |
4)restorecon命令
当文件的安全属性在安全策略配置文件里面有定义时,使用restorecon命令,可以恢复原来的安全属性
root@xxx:/ # restorecon /dev/tfa9890 SELinux: Loaded file_contexts from /file_contexts root@xxx:/ # ls -Z /dev/tfa9890 crw-rw---- media media u:object_r:audio_device:s0 tfa9890 |
5)id命令
使用id命令,能确认自己的SecurityContext
root@xxx:/ # id uid=0(root) gid=0(root) groups=1004(input),1007(log),1011(adb), 1015(sdcard_rw),1028(sdcard_r),3001(net_bt_admin),3002(net_bt), 3003(inet),3006(net_bw_stats) context=u:r:su:s0 |
6)getenforce命令
得到当前SELinux的模式值
root@xxx:/ # getenforce Enforcing |
7)setenforce命令
更改当前的SELINUX的模式值,后面可以跟 enforcing,permissive 或者1,0。
SEAndroid实战
通过上面的讲解,各位应该对SELinux安全策略有了一定的了解,接下来我们看看在具体项目开发中,我们应该如何应对安全策略相关的问题。
定制符合项目需求的安全策略
SELinux的安全检查覆盖了所有重要的系统资源,每次MAC访问失败都会记录在内核中,如下:
<6>[82.950769] type=1400 audit(1882976.149:5): avc: denied { write } for pid=3194 comm="BluetoothAdapte" name="aplog" dev="mmcblk0p22" ino=88 scontext=u:r:bluetooth:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir |
上面的log记录了一条违反安全策略的访问信息,即BluetoothAdapte进程试图在data分区写目录失败。
scontext表示进程的SContext,u:r:bluetooth:s0,属于bluetooth域;
tcontext表示目标的SContext,u:r:system_data_file:s0,属于system_data_file类型;
tclass表示进程要操作的ObjectClass,dir表示目录;
mmcblk0p22是userdata分区,write表示写操作。
连起来就是bluetooth域的进程(BluetoothAdapte),对system_data_file类型的dir执行write操作失败。明确了失败原因,我们就可以在安全策略配置文件中定制我们自己的策略了:
[external/sepolicy/bluetooth.te] allow bluetooth system_data_file:dir w_dir_perms; |
w_dir_perms是一个宏,其定义在global_macros中,包含了write相关操作:
[external/sepolicy/global_macros] define(`w_dir_perms', `{ open search write add_name remove_name }') |
为新的设备文件增加安全属性
在项目开发中,我们在/dev目录下建立了一个新的设备文件tfa98xx,这是一个音频相关的设备文件,但是在集成framework层的代码后,总是出现下面的访问错误,应该如何处理呢?
<6>[12.435524] type=1400 audit(3635791.670:21): avc: denied { read write } for pid=273 comm="mediaserver" name="tfa98xx" dev="tmpfs" ino=9770 scontext=u:r:mediaserver:s0 tcontext=u:object_r:device:s0 tclass=chr_file |
首先,我们先看一下访问失败的原因:从log看,应该是mediaserver域的进程没有权限读写device类型的字符设备文件。那么我们能不能在mediaserver.te中加入访问权限呢?
在domain.te中有如下定义:
[external/sepolicy/domain.te] neverallow { domain -unconfineddomain -ueventd } device:chr_file { open read write }; |
也就是说除了unconfineddomain和uevented域外,所有在domain域中的进程都不能对device类型的字符设备文件执行open,read,write操作。
mediaserver也属于domain域,所以肯定不能通过添加策略来设置访问权限,怎么办呢?
在mediaserver.te中,我们发现mediaserver域是可以对audio_device类型的字符设备执行读写的:
[external/sepolicy/mediaserver.te] allow mediaserver audio_device:chr_file rw_file_perms; |
那么,能不能通过打标签的方法,把/dev/tfa98xx设置为audio_device类型呢?答案是肯定的。
在file_context中设置/dev/tfa98xx的安全属性,问题解决了:
[external/sepolicy/file_context] /dev/tfa9890 u:object_r:audio_device:s0 |
CTS相关问题
Android5.0的CTS测试中已经包含了安全策略相关的测试项:
runcts -c android.security.cts.SELinuxTest -m testSELinuxPolicyFile
测试中出现了下面的错误信息:
android.security.cts.SELinuxTest#testSELinuxPolicyFile FAIL |
查看device_logcat,能看到
System.out: SELinux avc rule neverallow58 failed 2 out of 100 checks. |
neverallow58测试出现2个失败,那么这个neverallow58是个啥呢?
先看一下测试用的apk,在android-cts/repository/testcases下有个CtsSecurityTestCases.apk,解压缩后asset目录下有个selinux_policy.xml文件,这个文件里面记录了所有CTS测试项。
<avc_rule name="58" type="neverallow"> <type type="source">kernel</type> <type type="source">sdcardd</type> <type type="source">init_shell</type> … … <type type="target">security_file</type> <obj_class name="dir"> <permission>create</permission> <permission>setattr</permission> </obj_class> |
看来neverallow58就是检查souce定义的这些域中的进程对target类型,也就是security_type类型的目录能否执行create和setattr操作,当然这是neverallow的,也就是不能执行操作才能pass。
在external/sepolicy目录看看我们最近的修改,发现为了让init_shell域的进程能够删除/data/security目录,修改了domain.te中的neverallow规则:
[external/sepolicy/domain.te] neverallow { domain -init -system_server -init_shell } security_file:dir { create setattr }; |
看来neverallow的规则,还是不能随便修改的,否则就可能导致CTS测试失败,去掉init_shell,CTS测试PASS;
[external/sepolicy/domain.te] neverallow { domain -init -system_server } security_file:dir { create setattr }; |
参考资料
SEAndroid-for-share.pdf
SEAndroid策略:http://blog.csdn.net/xbalien29/article/details/19505575
SEAndroid安全机制框架分析:http://blog.csdn.net/luoshengyang/article/details/37613135
SELinux策略配置语言:http://blog.csdn.net/miroku_it/article/details/3685334
SELinux:百度百科
更多推荐
所有评论(0)