安全策略的生成----SEAndroid in Android 5.x

最新推荐文章于 2023-04-14 21:00:00 发布
最新推荐文章于 2023-04-14 21:00:00 发布
阅读量981 收藏
点赞数
分类专栏: SEAndroid 文章标签: android seandroid selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chris_king_4/article/details/50237573
版权
android系统中第一个启动的进程是init进程,这个进程会执行系统初始化,其中就包括加载SEAndroid安全策略,查看文件system/core/init/init.c的main函数,其中有:
  
   unionselinux_callback cb;
    cb.func_log= log_callback;
   selinux_set_callback(SELINUX_CB_LOG, cb);

   cb.func_audit = audit_callback;
   selinux_set_callback(SELINUX_CB_AUDIT, cb);

   selinux_initialize();


            这里调用了两个与SEAndroid相关的函数:
1.selinux_set_callback,用来向libselinux设置SEAndroid日志和审计回调函数。该函数的实现在external/libselinux/src/callbacks.c文件中: 
void
selinux_set_callback(int type, union selinux_callback cb)
{
    switch(type) {
    caseSELINUX_CB_LOG:
       selinux_log= cb.func_log;
       break;
    caseSELINUX_CB_AUDIT:
      selinux_audit = cb.func_audit;
       break;
    caseSELINUX_CB_VALIDATE:
      selinux_validate = cb.func_validate;
       break;
    caseSELINUX_CB_SETENFORCE:
      selinux_netlink_setenforce = cb.func_setenforce;
       break;
    caseSELINUX_CB_POLICYLOAD:
      selinux_netlink_policyload = cb.func_policyload;
       break;
    }
}



2.selinux_initialize(),查看这个函数的实现: 
static void selinux_initialize(void)
{
    if(selinux_is_disabled()) {
       return;
    }

   INFO("loading selinux policy\n");
    if(selinux_android_load_policy()< 0){
       ERROR("SELinux: Failed to load policy; rebooting into recoverymode\n");
       android_reboot(ANDROID_RB_RESTART2, 0, "recovery");
       while (1) { pause(); }  // never reached
    }

    selinux_init_all_handles();
    boolis_enforcing = selinux_is_enforcing();
   INFO("SELinux: security_setenforce(%d)\n", is_enforcing);
   security_setenforce(is_enforcing);
}


              查看该函数调用到的其他函数:
  • selinux_init_all_handles(),这个函数在system/core/init/init.c文件中,它通过调用libselinux的函数来打开前面分析file_contexts和property_contexts文件,以便可以用来查询系统文件和系统属性的安全上下文。 
      void selinux_init_all_handles(void)
{
    sehandle =selinux_android_file_context_handle();
   selinux_android_set_sehandle(sehandle);
   sehandle_prop = selinux_android_prop_context_handle();
}


  • selinux_android_load_policy,这个函数用来加载安全策略到内核空间的SELinuxLSM模块中,实现在external/libselinux/android.c中,查看这个函数的实现,并且将其中的常量的值标注出来(常量值定义在external/libselinx/src/policy.h中):
int selinux_android_load_policy(void)
{
    const char*mnt = SELINUXMNT;  //"/sys/fs/selinux"
    intrc;
    rc =mount(SELINUXFS, mnt, SELINUXFS, 0, NULL); //"selinuxfs"
    if (rc <0) {
       if (errno ==ENODEV) {
         
          return-1;
       }
       if (errno ==ENOENT) {
         
          mnt =OLDSELINUXMNT;  //"/selinux"
          rc =mkdir(mnt, 0755);
          if (rc == -1&& errno != EEXIST) {
            selinux_log(SELINUX_ERROR,"SELinux:  Could notmkdir:  %s\n",
               strerror(errno));
             return-1;
          }
          rc =mount(SELINUXFS, mnt, SELINUXFS, 0, NULL);
       }
    }
    if (rc <0) {
      selinux_log(SELINUX_ERROR,"SELinux:  Could notmount selinuxfs:  %s\n",
            strerror(errno));
       return-1;
    }
   set_selinuxmnt(mnt);

    returnselinux_android_load_policy_helper(false);
}


            这个函数首先尝试以/sys/fs/selinux为安装点,安装SELinux文件系统,来和内核的LSM模块通信,如果失败,则将安装点改为/selinux。
            安装系统安装完毕后,调用selinux_android_load_policy_helper()函数,将安全策略写入到LSM模块中。查看这个函数的实现: 
static int selinux_android_load_policy_helper(bool reload)
{
    int fd = -1,rc;
    struct statsb;
    void *map =NULL;

    if (reload&& !selinux_android_use_data_policy())
       return0;

    fd =open(sepolicy_file[policy_index], O_RDONLY |O_NOFOLLOW);
    if (fd <0) {
      selinux_log(SELINUX_ERROR, "SELinux:  Could notopen sepolicy:  %s\n",
            strerror(errno));
       return-1;
    }
    if(fstat(fd, &sb) < 0) {
      selinux_log(SELINUX_ERROR, "SELinux:  Could notstat %s:  %s\n",
            sepolicy_file[policy_index], strerror(errno));
      close(fd);
       return-1;
    }
    map =mmap(NULL, sb.st_size, PROT_READ, MAP_PRIVATE, fd, 0);
    if (map ==MAP_FAILED) {
      selinux_log(SELINUX_ERROR, "SELinux:  Could notmap %s:  %s\n",
         sepolicy_file[policy_index], strerror(errno));
      close(fd);
       return-1;
    }

    rc =security_load_policy(map, sb.st_size);
    if (rc <0) {
      selinux_log(SELINUX_ERROR, "SELinux:  Could notload policy:  %s\n",
         strerror(errno));
       munmap(map,sb.st_size);
      close(fd);
       return-1;
    }

    munmap(map,sb.st_size);
   close(fd);
   selinux_log(SELINUX_INFO, "SELinux: Loaded policy from %s\n",sepolicy_file[policy_index]);

    return0;
}

              函数open(sepolicy_file[policy_index], O_RDONLY |O_NOFOLLOW)的作用是查找sepolicy文件。按照sepolicy_file的定义: 
static const char *const sepolicy_file[] = {
   "/sepolicy",
   "/data/security/current/sepolicy",
    NULL};

函数会按照这个顺序查找sepolicy文件(在当前运行的版本中,该sepolicy文件在/sepolicy)。如果找不到,或者版本错误或disabled,则报错。如果找到,将文件的内容映射到内存当中,起始地址是map。然后,调用security_load_policy函数。这个函数的实现在external/libselinux/src/load_policy.c中:
  
 int security_load_policy(void *data, size_tlen)
  {
         char path[PATH_MAX];
         int fd, ret;
 
         if (!selinux_mnt) {
                 errno = ENOENT;
                 return -1;
         }
 
         snprintf(path, sizeof path, "%s/load", selinux_mnt);
         fd = open(path, O_RDWR);
         if (fd < 0)
                 return -1;
 
         ret = write(fd, data, len);
         close(fd);
         if (ret < 0)
                 return -1;
         return 0;
  }

        selinux_mnt是一个全局变量,是SELinux文件系统的安装点。在当前系统中,它的值就等于/sys/fs/selinux。函数security_load_policy的实现很简单,它首先打开/sys/fs/selinux/load文件,然后将参数data所描述的安全策略写入到这个文件中去。由于/sys/fs/selinux是由内核空间的SELinuxLSM模块导出来的文件系统接口,因此当我们将安全策略写入到位于该文件系统中的load文件时,就相当于是将安全策略从用户空间加载到SELinuxLSM模块中去了。以后SELinux LSM模块中的Security Server就可以通过它来进行安全检查。
kubisister
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程的安全上下文----SEAndroid in android 5.x
苞谷猿的技术bug
12-02 1914
SEAndroid使用两种方式为进程设置安全上下文 1.为独立进程静态的设置安全上下文        这和传统的LInux系统很像。android系统中的每个独立进程都对应着一个可执行文件。        以init为例,查看init进程的启动脚本system/core/rootdir/init.rc,部分内容如下: on early-init     ...........     # Set
SEAndroid安全机制框架分析
810364804
07-14 353
我们知道,Android系统基于Linux实现。针对传统Linux系统,NSA开发了一套安全机制SELinux,用来加强安全性。然而,由于Android系统有着独特的用户空间运行时,因此SELinux不能完全适用于Android系统。为此,NSA针对Android系统,在SELinux基础上开发了SEAndroid。本文就对SEAndroid安全机制框架进行分析,以便后面可以更好地分析其实现细节...
SEAndroid流程分析
最新发布
Venus 的博客
04-14 521
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员中。与设置app文件安全上下文的selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
linux中调节init进程的优先级,Init进程设置SELinux的Policy
weixin_36446632的博客
04-29 376
Init进程的main()函数有一段代码用来初始化SELinux,如下所示:int main(......) {......//设置SELinux的回调函数union selinux_callback cb;cb.func_log = klog_write;selinux_set_callback(SELINUX_CB_LOG,cb);cb.func_audit = audit_callback;...
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4017
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
android 开机启动流程分析(05)SE Android 的解读
wangdsh的博客
05-22 1129
系列文章解读&说明: Android开机启动流程的分析主要分为以下部分: android 开机启动流程分析(01) init之前启动说明 android 开机启动流程分析(02)init的启动流程分析 android 开机启动流程分析(03)init启动中关键进程 uevent & watchdog android 开机启动流程分析(04)init启动中关键服务-属性服务...
frida-server-14.2.18-android.zip
06-24
标题中的"frida-server-14.2.18-android.zip"表明这是一个关于Frida Server的软件包,版本号为14.2.18,面向Android平台。Frida是一个强大的动态代码插桩工具,它允许你在运行时对应用程序进行交互式脚本编写,以...
Windows-Server-XX-IP-安全策略.ppt
11-12
Windows-Server-XX-IP-安全策略.ppt
android-http.7z
07-30
Android开发中,HTTP通信是应用与服务器交互的重要方式,特别是在获取或发送数据时。"android-http.7z"这个压缩包很可能包含了...通过学习和实践这些内容,开发者可以更高效、安全地在Android应用中实现网络功能。
gradle-3.3-all.zip 绿色版本,欢迎下载
01-09
5. **Android插件增强**:对于Android开发者来说,此版本的Gradle插件提供了新的API和特性,如支持多Dex文件,有助于应对65K方法限制问题。 6. **Task API更新**:Gradle 3.3改进了Task API,使得开发者能更容易地...
PyQt5-tools-packages.zip
12-16
PyQt5-tools是Python开发中一个非常重要的工具集,它为使用PyQt5库的开发者提供了额外的便利,包括图形用户界面(GUI)设计工具如Qt Designer,代码生成器如uic,以及编译资源文件的rcc工具等。然而,在Python 3.11...
Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解AndroidSELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
深入理解SELinux SEAndroid(最后部分)
热门推荐
Innost的专栏
02-23 4万+
接第二部分的内容(http://blog.csdn.net/innost/article/details/19641487)SEAndroid最后一部分全文PDF下载地址为:http://vdisk.weibo.com/s/z68f8l0xZUS9w     深入理解SELinux/SEAndroid(结局)二  SEAndroid源码分析有了上文的SELinux的基础知识,本节再来看看Googl
SElinux
shichaog的专栏
12-08 8665
SElinux是一个linux安全增强功能,其允许用户和管理员对访问控制有更多的控制权。 访问控制可以做到哪个用户可能访问哪些资源的级别。这些资源可以来自文件。标准的Linux存取控制,如文件权限(-rwxr-xr-x)由用户或用户运行的程序修改。相反的,SELinux 的存取权限由系统加载时的policy确定,这个policy不能随意更改。 SELinux同样提供了细粒度的存取控制,不仅仅是
linux中运行stat报错,Linux 格式化分区 报错Could not stat
weixin_35891787的博客
05-05 557
安装操作系统的时候,有一部分空间没有使用,在系统安装后,准备重新分区并格式化,在挂到/u01下,来安装Oracle的。分区的过程正常:[root@db1 /]# fdisk -lDisk /dev/sda: 21.4 GB, 21474836480 bytes255 heads, 63 sectors/track, 2610 cylindersUnits = cylinders of 16065 ...
快速解决Android中的selinux权限问题
Android开发
04-01 4万+
关于selinux的详细资料,请查阅http://blog.csdn.net/innost/article/details/19299937 在Android开发的过程中,遇到关于selinux相关的东西,当时还一下子看不懂,现在好像有点眉目了。 比如,内核打印这个提示 type=1400 audit(32.939:25): avc: denied { open } for pid=2...
深入理解SELinux/SEAndroid
Fybon的专栏
07-15 2455
SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinuxSEAndroid。 先来看SEAndroid安全策略文件的编译。   1. 编译sepolicy Android平台中: external/sepolicy:提供了Androi
SEAndroid策略分析(三):类型强制和角色声明
苞谷猿的技术bug
12-09 1963
类型强制 TE规则语法: 规则名称源类型目标类型:客体类别许可 规则名称    allow,dontaudit,auditallow和neverallow。 源类型      授予访问的类型,通常是进程尝试访问的域类型。 目标类型    客体的类型,它被授权可以访问源类型。 客体类别    客体的类别。 许可        表示主体对客体访问时允许的操作类型(也叫做访问向量)。  
ISO26262-5: 功能安全硬件开发标准解析
"ISO26262-5 中文版" 是一份关于道路车辆功能安全的国际标准,中文翻译版涵盖了产品开发中的硬件层面。该文档主要讨论了如何在汽车行业中确保功能安全,特别是针对硬件设计的目标、安全功能说明书以及处理随机失效的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值