SE for Android 系列之整体概要(二)

最新推荐文章于 2023-11-08 07:37:47 发布
最新推荐文章于 2023-11-08 07:37:47 发布
阅读量1k 收藏
点赞数
分类专栏: android

所支持的MAC服务

MAC和MMAC功能概述:

  • 标准的SELinux MAC 策略是基于type enforcement(TE,即类型强制访问)/ multi-level security (MLS,即多级别安全机制),也可以理解为是一种白名单机制;
  • Install MMAC策略中的package和signature标签支持通过setinfo标签,来指定应用的context(安全上下文,指运行时domain)。该策略只对预装应用生效,而第三方的应用则无法通过这种方式指定,所有的第三方应用都只能由<default>标签匹配,而且seinfo的值为“default”。(译者注,这里会让你看得头晕,建议找到mac_permissions.xml文件对着看)
    • SEAndroid Install MMAC策略还能能够检查应用所申请的权限列表是否被允许。如果不允许,那么该应用就不能够安装。另外如果这款应用已经安装在手机上了,后来策略更新并与其产生冲突了,那么这款应用也不能运行。配置文件允许的动作有:allow(允许),deny(拒绝)和allow all permissions(允许所有权限)。 检查流程如下:
      • 安装或升级第三方应用时,它的权限列表都被会检查。如果在<default>里存在任意一项不被允许的权限,那么该应用安装或升级过程就会失败;
      • 预装的应用,他们的升级过程,系统也会去做一次权限检查。如果在package或者signature标签存在不允许的权限,更升级失败。如果存在某个权限,在package或者signature标签中没有显式声明为allow,而在default标签中声明为deny的话,升级过程同样会失败;
  • Intent MMAC策略的作用是决定Intent是否能够被分发到其他几种组件。策略会屏蔽掉所有没有被定义为允许的Intent分发。这是一个可选的策略,并不需要定制的SELinux策略支持,不过它可以对“主体”的安全上下文进行合法性校验。
  • Content Provider MMAC策略作用是决定content provider的访问请求是否被允许。策略会屏蔽掉所有没有被定义为允许的访问请求。目前的版本支持use, read, read/write三种权限。这是一个可选的策略,并不需要定制的SELinux策略支持。
  • Revoke permissions策略的作用是决定权限在运行过程中是否会被检查,如果权限被撤消了那么权限就会变成denied状态(也就是说,除了指定的权限会被变成denied,其他的权限都是允许的)。这是一个可选的策略,并不需要定制的SELinux策略支持。


Android为支持MAC所引入的变化

SE for Android为Android的内核增加了SELinux的支持,同时在用户空间也实现了如下几方面的目标:

  1. 定义所有具有特权守护进程,以防止权限被滥用以及把它们的破坏降到最低;
  2. 构造沙箱,使应用与应用和系统之间互相隔离;
  3. 防止应用提权;
  4. 利用MMAC策略,使应用的权限在安装和运行的过程中变得可控;
  5. 提供一种集中的、可分析的策略;
这些目标是由下列改措实现的:
  • 实现了yaffs2文件系统的安全标注;
  • 文件系统镜像文件(yaffs2和ext4)编译时标注;
  • 为recovery console和程序更新器提供标注功能;
  • 基于内核的Binder IPC权限检测;
  • 实现对由init进程所产生的服务端套接字(service sockets)和本地套接字文件(socket files)的标注功能;
  • 实现对由ueventd进程所产生的设备节点(device nodes)的标注功能;
  • 为应用和应用数据文件夹提供灵活易配置的标注功能;
  • 最小化SELinux用户空间的可用端口;
  • 提供了JNI方式的SELinux接口;
  • 为Zygote socket commands的使用提供了用户空间级别的权限检查;
  • 为Android properties的使用提供了用户空间级别的权限检查;
  • 专门针对Android编写了TE策略文件;
  • 为所有系统服务和应用定义domain;
  • 利用MLS类别隔离应用;
SE 对Android项目的变动
  • external/libselinux
提供了SELinux用户空间的函数库并集成到设备上。该库在原版本的基本上为适应Android而增加了一列的函数,如下所示:
  • selinux_android_setcontext
利用这个函数可以为应用设置正确的domain上下文,它会利用保存在seapp_contexts文件里的信息计算出正确的上下文。如果是在初始化阶段,这个函数也会调用selinux_android_seapp_context_reload加载seapp_contexts文件并对里面的每一项进行排序,详细过程见"seapp_contexts文件"一节。
该函数会被dalvik/vm/native/dalvik-system-Zygote.cpp和system/core/run-as/run-as.c调用。
  • selinux_android_setfilecon2
利用这个函数可以为应用文件夹和文件设置正常的上下文,它会利用保存在seapp_contexts文件里的信息计算出正确的上下文。如果是在初始化阶段,这个函数也会调用selinux_android_seapp_context_reload加载seapp_contexts文件并对里面的每一项进行排序,详细过程见"seapp_contexts文件"一节。
当安装应用时,该函数会被frameworks/base/cmds/installd/commands.c调用。
  • selinux_android_restorecon
利用这个函数可以让文件的上下文恢复成file_contexts文件里初始配置。该函数在初始经和安装等过程过程中会被多处调用。
  • selinux_android_load_policy
如果SELinux是开启的话,利用该函数可以加载SELinux文件系统,并通过调用selinux_android_reload_policy把策略文件加载到内核。
  • selinux_android_reload_policy
加载策略文件进内核。该函数会被system/core/init.c调用。
  • external/libsepol
提供了用户空间的策略工具库。这部分代码跟SELinux是一样的,而且不会集成到设备上。
  • external/checkpolicy
提供了策略构造工具。这部分代码跟SELinux是一样的,而且也不会集成到设备上(因此策略的构造必须在主机开发环境中进行)。
  • external/sepolicy
这个SE for Android特有的部分,里面包含各种策略模块(*.te文件),class/permissoin文件等等。所有策略模块依据Android.mk文件进行构造的,最终会连同其他配置文件(file_contexts, seapp_contexts和property_contexts)一起集成到设备上(编译成sepolicy文件)。也有一些工具可以根据不同的设备进行策略补充,这部分会在“策略构建”一节详细描述。
策略文件的在“SELinux MAC配置文件”一节进行详细描述。相关的工具也会在“策略构建工具”一节有详细的描述。
这里也包含了关于SE for Android的类定义,详细可以查看“SE for Android 的类和权限”一节。
这个文件夹也包含了Install MMAC、Intent MMAC、Content Permission MMAC策略,如果有配置的话,请参考“ SE for Android 系列之整体概要(一)”中的“ SE for Android的项目编译”一节。
  • external/mac-policy
这里包含revoke permission的策略配置文件(revoke_permission.xml),利用这种策略可以让Android的权限动态撤消。 如果项目选项选择revoke_perms的话,就会包含这个文件夹。
  • build
针对SE for Android进行修改。
  • dalvik
当进程被fork后,会使用selinux_android_setcontext进行domain上下文设置。
  • libcore
Zygote.java里添加了setInfo和niceName两种传入参数(译者注,应该是zygote command命令里添加了--setInfo和--niceName两种配置)
  • frameworks/base
    • JNI——添加了SELlinux的函数支持,如isSELinuxEnabled和setFSCreateCon。
    • SELinux 的Java类和方法的定义。
    • Zygote连接者的安全上下文检查。
    • 为package manager和各种service提供文件权限的管理(译者注,这里不太明白)
    • 添加MMAC框架
  • system/core
    • 支持SELinux的toolbox,比如load_policy, runcon
    • 支持SELinux的系统初始化,比如init,init.rc
    • 支持SELinux的核审服务(audittd)
  • system/extras
支持SELinux的ext4文件系统
  • kernel
已经有多个内核增加了LSM和SELinux支持,详细可以查看SEforAndroid - Building for a Device.
Android的内核存在多个版本(目前是3.4,模拟器使用的是Goldfish),因此最新版本的SELinux一般还没有集成到SEforAndroid。在“内核LSM和SELinux的支持”一节里,会详细说明内核的变化。

  • device

关于支持设备的详情情况,可以查看SEforAndroid - Building for a Device

可以修改设备的配置文件定制策略文件,详细见“构建策略文件”一节

Fybon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android自定义domain设置SeAndroid权限
x2017x的博客
09-19 4445
Domain简介  在adbshell中输入命令ps-Z可查看到类似如下形式的信息,其中,第一栏第个冒号后的内容(如system_app)即为domain,这些domain可用于通过定义.te文件中的权限控制属于该domain的应用的权限(如/external/sepolicy/system_app.te中的allowsystem_app system_data_file:dir crea
android se,SEAndroid 问题解决
weixin_32058931的博客
05-27 538
终于把2个月纠结的功能做完了。 完成功能特地也总结一下一些常用的命令1.1 adb shell getenforce (查看selinux 当前的状态)Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2设置selinux 的状态 adb ...
Android 4.4.2 SELinux 与系统关系详解三:根据Seinfo 为Package 设置安全上下文标签
万能的终端和网络
03-25 2421
在对Android 操作系统进行定制开发过程中,优势仅仅需要编译修改过的部分并烧写到设备上进行验证,下面是重新编译打包boot.img,并自动烧写到设备的脚本文件。 [code=Python] echo on out/host/linux-x86/bin/mkbootfs out/target/product/hammerhead/root | out/host/linux-x86/bin/
selinux seinfo
Android 系统开发
11-07 187
/** * Selects a security label to a package based on input parameters and the seinfo tag taken * from a matched policy. All signature based policy stanzas are consulted and, if no match * is found, the default seinfo label of 'default' is used. The sec.
android studio的概要介绍与分析
最新发布
06-14
### Android Studio概要介绍与深度解析 #### 一、Android Studio概述 Android Studio是由Google官方推出的专门用于Android应用开发的一款集成开发环境(Integrated Development Environment,简称IDE)。它基于...
Android Studio 的概要介绍与分析
05-11
### Android Studio 概要介绍与资源管理深度解析 #### 一、Android Studio 概述 Android Studio 是由谷歌推出的一款专为 Android 开发者量身定制的集成开发环境(Integrated Development Environment, IDE)。该...
基于android手机导览系统概要设计说明书.doc
05-27
综上所述,《基于android手机导览系统概要设计说明书》涵盖了系统的整体架构设计、技术选型、功能需求分析等方面的内容,旨在指导开发团队构建一个高效稳定的导览系统。通过对这些知识点的理解和掌握,可以帮助相关...
android万年历和概要设计文档
02-10
Android万年历及其概要设计》 在移动设备领域,Android系统因其开源特性与广泛的应用,成为开发者的重要平台。本项目聚焦于Android系统上的万年历应用开发,旨在为用户提供一个直观、实用且功能丰富的日历工具。...
android点名软件概要设计报告.pdf
10-02
Android点名软件概要设计】 本设计报告主要围绕Android点名软件的开发,旨在创建一个高效、便捷的考勤管理工具,适用于学校、旅游公司和企事业单位等不同场景。软件核心功能包括点名、考勤记录和地点追踪,旨在...
启动一个新的进程时,如何加入SEAndroid信息seInfo
小明的专栏
09-05 1202
SEAndroid Zygote 在Android系统中,所有的应用程序进程,以及系统服务进程SystemServer都是由Zygote孕育fork出来的。 Zygote的native获取主要研究dalvik/vm/native/dalvik_system_Zygote.cpp,SEAndroid管控应用程序资源存取权限,对于整个dalvik,也正是在此动的手脚。 首先看抛出的Dalv
SEAndroid流程分析
Venus 的博客
04-14 559
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员中。与设置app文件安全上下文的selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
Android 12 S 系统开机流程分析 - SetupSelinux(
weixin_41028555的博客
11-08 676
本文接着上文开始讲解,上文中最后一步执行后会执行init启动过程中的第SetupSelinux(Selinux配置阶段),这样又会走到main.cpp中的main方法。
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1884
接第部分的内容 深入理解SELinuxSEAndroid(结局) SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
SEandroid 安全机制---进程安全上下文
Jack的博客
06-10 1429
3进程安全上下文 前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外, 还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。 也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。      在传统的Linux
Android SeLinux权限问题和解决方法
loji521的专栏
10-27 1012
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied {操作权限} for pid=7201comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0 1.2 举例: Kenel log: avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u...
载入java VM时出错216,Android系统启动——5 zyogte进程(Java篇)
weixin_31417135的博客
03-27 1102
本次系列的内容如下:本篇文章的主要内容如下:1、Java层的ZygoteInit的main()方法2、registerZygoteSocket(socketName)方法解析3、预加载系统类和资源4、启动SystemServer5、处理启动应用的请求——runSelectLoop()方法解析6、Zygote总结上一篇文章,我们知道在AndroidRuntime.cpp的start()函数里面是调用...
SEAndroid安全机制中的进程安全上下文关联分析
810364804
07-28 471
前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外,还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。本文就详细分析SEAndroid的进程安全上下文的关联过程...
Android System Server进程源码分析 上
Android 6.0 源码学习
11-11 1647
一 System Server System Server是Zygote启动的第一个进程,它的核心功能是启动和管理Android系统的各类服务。 1.0 startSystemServer private static boolean startSystemServer(String abiList, String socketName) // abiList
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值