Android SELinux权限

Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),其中包括以 Root/超级用户权限运行的进程(Linux 功能)。

工作模式
宽容模式 - 仅记录但不强制执行 SELinux 安全政策。
强制模式 - 强制执行并记录安全政策。如果失败,则显示为 EPERM 错误。
可以通过getenfoce来获取当前工作模式:
还可以通过setenforce 0来设置当前模式为Permissive:
也可以通过setenforce 1来设置当前模式为Enforcing:

SELinux安全上下文
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,安全上下文的格式为:user:role:type:sensitivity[:categories],通常可以忽略上下文的 user、role 和 sensitivity 字段。当运行 SELinux 后,所有这些信息都将作为访问控制的依据。

1、查看文件和目录的安全上下文,执行命令如下:

1|console:/ # ls -Z
u:object_r:cgroup:s0                acct             u:object_r:tmpfs:s0                 mnt
u:object_r:apex_mnt_dir:s0          apex             u:object_r:vendor_file:s0           odm
u:object_r:rootfs:s0                bin              u:object_r:vendor_file:s0           odm_dlkm
u:object_r:rootfs:s0                bugreports       u:object_r:oemfs:s0                 oem
u:object_r:cache_file:s0            cache            u:object_r:postinstall_mnt_dir:s0   postinstall
u:object_r:configfs:s0              config           u:object_r:proc:s0                  proc
u:object_r:rootfs:s0                d                u:object_r:system_file:s0           product
u:object_r:system_data_root_file:s0 data             u:object_r:rootfs:s0                sdcard
u:object_r:mirror_data_file:s0      data_mirror      u:object_r:tmpfs:s0                 second_stage_resources
u:object_r:tmpfs:s0                 debug_ramdisk    u:object_r:mnt_user_file:s0         storage
u:object_r:device:s0                dev              u:object_r:sysfs:s0                 sys
u:object_r:rootfs:s0                etc              u:object_r:system_file:s0           system
u:object_r:init_exec:s0             init             u:object_r:system_dlkm_file:s0      system_dlkm
u:object_r:rootfs:s0                init.environ.rc  u:object_r:system_file:s0           system_ext
u:object_r:linkerconfig_file:s0     linkerconfig     u:object_r:vendor_file:s0           vendor
u:object_r:metadata_file:s0         metadata         u:object_r:vendor_file:s0   

2、查看进程的安全上下文,执行命令如下

console:/ # ps -Z -e |grep smartdevice
u:r:mt_platform_app:s0         system        1512   384    1232712  75756 do_epoll_wait       0 S com.smartdevice.global.service
u:r:system_app:s0              system        2081   384    1330484 186356 do_epoll_wait       0 S com.smartdevice.dailyshortcut
u:r:system_app:s0              system        2123   384    1193112  55872 do_epoll_wait       0 S com.smartdevice.leanbacklauncher.customizer
u:r:system_app:s0              system        3157   384    1302756 119640 do_epoll_wait       0 S com.smartdevice.dtv.icast
u:r:untrusted_app_32:s0:c54,c256,c512,c768 u0_a54 3186 384 1883096  63176 do_epoll_wait       0 S com.smartdevice.tv.aircast
u:r:mt_platform_app:s0         system        4268   384    1230384  94636 do_epoll_wait       0 S com.smartdevice.factory
u:r:system_app:s0              system        8659   384    1195700  57920 do_epoll_wait       0 S com.smartdevice.bleconnectservice
u:r:system_app:s0              system       11512   384    1262884 129512 do_epoll_wait       0 S com.smartdevice.ipcontrol

进程SContext的type字段代表该进程所属的Domain。
3、查看属性的安全上下文,执行命令如下:

console:/mnt/vendor # getprop -Z persist.sys.locale
u:object_r:locale_prop:s0

安全策略

SELinux安全机制又称为是基于TE(Type Enforcement)策略的安全机制。所有安全策略都存放在.te结尾的文件中,一般放在 /system/sepolicy/private/,厂商定制的一般放在/device/xxx/sepolicy/下。
语句格式为:

allow source target:class permissions;
//source - 规则主题的类型(或属性),即进程的组,也就是进程的domain。
//目标 - 对象的类型(或属性),即进程所要操作的文件的type。
//类 - 要访问的对象(例如,文件、套接字)的类型,system/sepolicy/private/security_classes中有class的定义,常见的有file,dir等。
//权限 - 要执行的操作(或一组操作,例如读取、写入),常见的有read , write, ioctrol, create, getattr, getattr等。

示例:

allow system_app vendor_configs_file:file { read getattr open };
get_prop(system_app, vendor_default_prop) 其实是一个宏,展开如下:
allow system_app vendor_default_prop:file r_file_perms; 

错误修改

常见错误

出现违反SELinux安全策略的错误时一般会有如下log输出:

type=1400 audit(0.0:16187): avc:  denied  { read getattr open } for  name="vendor" dev="tmpfs" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:vendor_configs_file:s0 tclass=file permissive=0

按照规则 allow scontex tcontex:tclass action 来改即可:

allow system_app vendor_configs_file:file { read getattr open };

违反规则的同时又neverallow问题修改
Google 在system/sepolicy中有使用相关neverallow 规则, 对SELinux Policy 的更新进行了限制, 以防止开发者过度开放权限,从而引发安全问题。并且通过CTS Test 检测开发者是否有违反相关的规则.
如:

type=1400 audit(0.0:2928): avc:  denied  { search } for  name="vendor" dev="tmpfs" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0

按照之前规则配置:

allow system_app mnt_vendor_file:dir { search };

编译出现报错:

FAILED: out/soong/.intermediates/system/sepolicy/sepolicy.recovery/android_common/sepolicy
out/host/linux-x86/bin/secilc -m -M true -G -c 30 out/soong/.intermediates/system/sepolicy/recovery_sepolicy.cil/android_common/recovery_sepolicy.cil -o out/soong/.intermediates/system/sepolicy/sepolicy.recovery/android_common/sepolicy_policy -f /dev/null && cp -f out/soong/.intermediates/system/sepolicy/sepolicy.recovery/android_common/sepolicy_policy out/soong/.intermediates/system/sepolicy/sepolicy.recovery/android_common/sepolicy && rm -f out/soong/.intermediates/system/sepolicy/sepolicy.recovery/android_common/sepolicy_policy # hash of input list: 187605db6ee3f7580bafd9adbd0101d2c2a0d02f423bb7efa74ee537c43d35ce
neverallow check failed at out/soong/.intermediates/system/sepolicy/recovery_sepolicy.cil/android_common/recovery_sepolicy.cil:11171 from system/sepolicy/public/domain.te:1233
  (neverallow base_typeattr_281 mnt_vendor_file (dir (ioctl read write create getattr setattr lock relabelfrom relabelto append map unlink link rename execute quotaon mounton audit_access open execmod watch watch_mount watch_sb watch_with_perm watch_reads add_name remove_name reparent search rmdir)))
    <root>
    allow at out/soong/.intermediates/system/sepolicy/recovery_sepolicy.cil/android_common/recovery_sepolicy.cil:33799
      (allow system_app mnt_vendor_file (dir (search)))

Failed to generate binary
Failed to build policydb

通过查看system/sepolicy/public/domain.te:

# Platform must not have access to /mnt/vendor.
neverallow {
  coredomain
  -init
  -ueventd
  -vold
  -system_writes_mnt_vendor_violators
} mnt_vendor_file:dir *;

domain.te文件中,明确domain中是没有对mnt_vendor_file的读写权限。

方法一:将 system_app 添加到上述neverallow的domain例外中,但后续可能会有cts问题,不建议使用。
方法二:将要操作的文件定义为其他type,然后允许system_app来读写这个新type的文件。
1、file.te新增mt_config_file SELinux type:

type mt_config_file, file_type;

2、绑定文件到SELinux type, file_contexts文件添加:

/mnt/vendor/config(/.*)?                                u:object_r:mt_config_file:s0
//这个含义代表/mnt/vendor/config下所有的文件或者目录的标签都是mt_config_file,
//如果在mnt/vendor/config的子目录下,创建一个目录或者文件,并不给它打标签的话,那么这个新创建的文件或者目录会和父目录的标签一致

3、申请权限:

allow system_app mt_config_file:dir search;

4、发现还是无法访问,再修改权限域,seapp_contexts新建权限域:

user=system seinfo=platform name=pkgNmae domain=mt_platform_app type=mt_tvapk_app_data_file

5、最后新建mt_platform_app.te,申请权限:

allow mt_platform_app mt_config_file:dir search;

自定义Prop 错误

在mk中增加Prop,
PRODUCT_PRODUCT_PROPERTIES += \
    ro.vendor.firmware.version=1.0.0

通过SystemProperties去获取时发现出现Access denied finding property "ro.vendor.firmware.version"问题。
对于vendor下property权限,类似file权限

1、attributes.te定义type:

attribute mtk_core_property_type;

2、在property.te 中添加:

vendor_public_prop(vendor_fw_version_prop)
typeattribute vendor_fw_version_prop                        mtk_core_property_type;

3、在property_contexts中添加:

ro.vendor.firmware.version                              u:object_r:vendor_fw_version_prop:s0

4、system_app.te添加权限

allow system_app vendor_fw_version_prop:file { map getattr open };
get_prop(system_app, vendor_fw_version_prop)

image

posted @   白云一片去悠悠  阅读(224)  评论(1编辑  收藏  举报
相关博文:
阅读排行:
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
点击右上角即可分享
微信分享提示