启动一个新的进程时,如何加入SEAndroid信息seInfo

最新推荐文章于 2024-10-11 07:45:46 发布
最新推荐文章于 2024-10-11 07:45:46 发布
阅读量1.2k 收藏
点赞数
分类专栏: SEandroid
SEAndroid Zygote

在Android系统中,所有的应用程序进程,以及系统服务进程SystemServer都是由Zygote孕育fork出来的。 Zygote的native获取主要研究dalvik/vm/native/dalvik_system_Zygote.cpp,SEAndroid管控应用程序资源存取权限,对于整个dalvik,也正是在此动的手脚。


首先看抛出的DalvikNativeMethod dvm_dalvik_system_Zygote,与原生Android相比,SEAndroid 在 nativeForkAndSpecialize 增加传入了两个String类型的参数:

[cpp] view plain copy print ?
  1. const DalvikNativeMethod dvm_dalvik_system_Zygote[] = {  
  2.     {"nativeFork""()I",  
  3.         Dalvik_dalvik_system_Zygote_fork },  
  4.     { "nativeForkAndSpecialize""(II[II[[ILjava/lang/String;Ljava/lang/String;)I",  
  5.         Dalvik_dalvik_system_Zygote_forkAndSpecialize },  
  6.     { "nativeForkSystemServer""(II[II[[IJJ)I",  
  7.         Dalvik_dalvik_system_Zygote_forkSystemServer },  
  8.     { "nativeExecShell""(Ljava/lang/String;)V",  
  9.         Dalvik_dalvik_system_Zygote_execShell },  
  10.     { NULL, NULL, NULL },  
  11. }  
const DalvikNativeMethod dvm_dalvik_system_Zygote[] = {
    {"nativeFork", "()I",
        Dalvik_dalvik_system_Zygote_fork },
    { "nativeForkAndSpecialize", "(II[II[[ILjava/lang/String;Ljava/lang/String;)I",
        Dalvik_dalvik_system_Zygote_forkAndSpecialize },
    { "nativeForkSystemServer", "(II[II[[IJJ)I",
        Dalvik_dalvik_system_Zygote_forkSystemServer },
    { "nativeExecShell", "(Ljava/lang/String;)V",
        Dalvik_dalvik_system_Zygote_execShell },
    { NULL, NULL, NULL },
}

那么这两个参数是什么呢?继续追一下 forkAndSpecialize。

[cpp] view plain copy print ?
  1. /* native public static int forkAndSpecialize(int uid, int gid, 
  2. * int[] gids, int debugFlags, String seInfo, String niceName); 
  3. */  
  4. static void Dalvik_dalvik_system_Zygote_forkAndSpecialize(const u4* args,  
  5. JValue* pResult)  
  6. {  
  7.     pid_t pid;  
  8.   
  9.     pid = forkAndSpecializeCommon(args, false);  
  10.   
  11.     RETURN_INT(pid);  
  12. }  
/* native public static int forkAndSpecialize(int uid, int gid,
* int[] gids, int debugFlags, String seInfo, String niceName);
*/
static void Dalvik_dalvik_system_Zygote_forkAndSpecialize(const u4* args,
JValue* pResult)
{
    pid_t pid;

    pid = forkAndSpecializeCommon(args, false);

    RETURN_INT(pid);
}

可以看到,增加传入的2个参数一个是seInfo,用于定义新进程的SEAndroid信息,一个是niceName,用于定义新进程名。

在static pid_t forkAndSpecializeCommon(const u4* args, bool isSystemServer)中,其中SEAndroid加入了设置SELinux安全上下文代码段,seInfo和niceName:

[cpp] view plain copy print ?
  1. #ifdef HAVE_SELINUX   
  2.     err = setSELinuxContext(uid, isSystemServer, seInfo, niceName);  
  3.     if (err < 0) {  
  4.         LOGE("cannot set SELinux context: %s\n", strerror(errno));  
  5.         dvmAbort();  
  6.     }  
  7.     free(seInfo);  
  8.     free(niceName);  
  9. #endif  
#ifdef HAVE_SELINUX
    err = setSELinuxContext(uid, isSystemServer, seInfo, niceName);
    if (err < 0) {
        LOGE("cannot set SELinux context: %s\n", strerror(errno));
        dvmAbort();
    }
    free(seInfo);
    free(niceName);
#endif

其中设置SELinux安全上下文方法实现:

[cpp] view plain copy print ?
  1. #ifdef HAVE_SELINUX   
  2. /* 
  3. * Set SELinux security context. 
  4. * 
  5. * Returns 0 on success, -1 on failure. 
  6. */  
  7. static int setSELinuxContext(uid_t uid, bool isSystemServer,  
  8. const char *seInfo, const char *niceName)  
  9. {  
  10. #ifdef HAVE_ANDROID_OS   
  11.     return selinux_android_setcontext(uid, isSystemServer, seInfo, niceName);  
  12. #else   
  13.     return 0;  
  14. #endif   
  15. }  
  16. #endif  
#ifdef HAVE_SELINUX
/*
* Set SELinux security context.
*
* Returns 0 on success, -1 on failure.
*/
static int setSELinuxContext(uid_t uid, bool isSystemServer,
const char *seInfo, const char *niceName)
{
#ifdef HAVE_ANDROID_OS
    return selinux_android_setcontext(uid, isSystemServer, seInfo, niceName);
#else
    return 0;
#endif
}
#endif


再往上一层就到了libcore/dalvik/src/main/java/dalvik/system/Zygote.java ,Zygote类的封装,对应forkAndSpecialize方法中添加seInfo和niceName参数传递。

[java] view plain copy print ?
  1. public class Zygote {  
  2. ...  
  3.     public static int forkAndSpecialize(int uid, int gid, int[] gids,  
  4.             int debugFlags, int[][] rlimits, String seInfo, String niceName) {  
  5.         preFork();  
  6.         int pid = nativeForkAndSpecialize(uid, gid, gids, debugFlags, rlimits, seInfo, niceName);  
  7.         postFork();  
  8.         return pid;  
  9.     }  
  10.   
  11.   
  12.     native public static int nativeForkAndSpecialize(int uid, int gid,  
  13.             int[] gids, int debugFlags, int[][] rlimits, String seInfo, String niceName);  
  14.   
  15.   
  16.     /** 
  17.      * Forks a new VM instance. 
  18.      * @deprecated use {@link Zygote#forkAndSpecialize(int, int, int[], int, int[][])} 
  19.      */  
  20.     @Deprecated  
  21.     public static int forkAndSpecialize(int uid, int gid, int[] gids,  
  22.             boolean enableDebugger, int[][] rlimits) {  
  23.         int debugFlags = enableDebugger ? DEBUG_ENABLE_DEBUGGER : 0;  
  24.         return forkAndSpecialize(uid, gid, gids, debugFlags, rlimits, nullnull);  
  25.     }  
  26. ...  
  27. }  
public class Zygote {
...
    public static int forkAndSpecialize(int uid, int gid, int[] gids,
            int debugFlags, int[][] rlimits, String seInfo, String niceName) {
        preFork();
        int pid = nativeForkAndSpecialize(uid, gid, gids, debugFlags, rlimits, seInfo, niceName);
        postFork();
        return pid;
    }


    native public static int nativeForkAndSpecialize(int uid, int gid,
            int[] gids, int debugFlags, int[][] rlimits, String seInfo, String niceName);


    /**
     * Forks a new VM instance.
     * @deprecated use {@link Zygote#forkAndSpecialize(int, int, int[], int, int[][])}
     */
    @Deprecated
    public static int forkAndSpecialize(int uid, int gid, int[] gids,
            boolean enableDebugger, int[][] rlimits) {
        int debugFlags = enableDebugger ? DEBUG_ENABLE_DEBUGGER : 0;
        return forkAndSpecialize(uid, gid, gids, debugFlags, rlimits, null, null);
    }
...
}


Android应用程序启动流程不再赘述,当建立了ZygoteConnection对象用于socket连接后,接下来就是调用ZygoteConnection.runOnce函数进一步处理了。

源码位置:frameworks/base/core/java/com/android/internal/os/ZygoteConnection.java,其中,SEAndroid增加zygote安全策略函数,在runOnce中调用。

[java] view plain copy print ?
  1. /** 
  2.     * Applies zygote security policy. 
  3.     * Based on the credentials of the process issuing a zygote command: 
  4.     * <ol> 
  5.     * <li> uid 0 (root) may specify --invoke-with to launch Zygote with a 
  6.     * wrapper command. 
  7.     * <li> Any other uid may not specify any invoke-with argument. 
  8.     * </ul> 
  9.     * 
  10.     * @param args non-null; zygote spawner arguments 
  11.     * @param peer non-null; peer credentials 
  12.     * @throws ZygoteSecurityException 
  13.     */  
  14.    private static void applyInvokeWithSecurityPolicy(Arguments args, Credentials peer,  
  15.            String peerSecurityContext)  
  16.            throws ZygoteSecurityException {  
  17.        int peerUid = peer.getUid();  
  18.   
  19.        if (args.invokeWith != null && peerUid != 0) {  
  20.            throw new ZygoteSecurityException("Peer is not permitted to specify "  
  21.                    + "an explicit invoke-with wrapper command");  
  22.        }  
  23.   
  24.        if (args.invokeWith != null) {  
  25.            boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext,  
  26.                                                         peerSecurityContext,  
  27.                                                         "zygote",  
  28.                                                         "specifyinvokewith");  
  29.            if (!allowed) {  
  30.                throw new ZygoteSecurityException("Peer is not permitted to specify "  
  31.                    + "an explicit invoke-with wrapper command");  
  32.            }  
  33.        }  
  34.    }  
  35.   
  36.    /** 
  37.     * Applies zygote security policy for SEAndroid information. 
  38.     * 
  39.     * @param args non-null; zygote spawner arguments 
  40.     * @param peer non-null; peer credentials 
  41.     * @throws ZygoteSecurityException 
  42.     */  
  43.    private static void applyseInfoSecurityPolicy(  
  44.            Arguments args, Credentials peer, String peerSecurityContext)  
  45.            throws ZygoteSecurityException {  
  46.        int peerUid = peer.getUid();  
  47.   
  48.        if (args.seInfo == null) {  
  49.            // nothing to check   
  50.            return;  
  51.        }  
  52.   
  53.        if (!(peerUid == 0 || peerUid == Process.SYSTEM_UID)) {  
  54.            // All peers with UID other than root or SYSTEM_UID   
  55.            throw new ZygoteSecurityException(  
  56.                    "This UID may not specify SEAndroid info.");  
  57.        }  
  58.   
  59.        boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext,  
  60.                                                     peerSecurityContext,  
  61.                                                     "zygote",  
  62.                                                     "specifyseinfo");  
  63.        if (!allowed) {  
  64.            throw new ZygoteSecurityException(  
  65.                    "Peer may not specify SEAndroid info");  
  66.        }  
  67.   
  68.        return;  
  69.    }  
 /**
     * Applies zygote security policy.
     * Based on the credentials of the process issuing a zygote command:
     * <ol>
     * <li> uid 0 (root) may specify --invoke-with to launch Zygote with a
     * wrapper command.
     * <li> Any other uid may not specify any invoke-with argument.
     * </ul>
     *
     * @param args non-null; zygote spawner arguments
     * @param peer non-null; peer credentials
     * @throws ZygoteSecurityException
     */
    private static void applyInvokeWithSecurityPolicy(Arguments args, Credentials peer,
            String peerSecurityContext)
            throws ZygoteSecurityException {
        int peerUid = peer.getUid();

        if (args.invokeWith != null && peerUid != 0) {
            throw new ZygoteSecurityException("Peer is not permitted to specify "
                    + "an explicit invoke-with wrapper command");
        }

        if (args.invokeWith != null) {
            boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext,
                                                         peerSecurityContext,
                                                         "zygote",
                                                         "specifyinvokewith");
            if (!allowed) {
                throw new ZygoteSecurityException("Peer is not permitted to specify "
                    + "an explicit invoke-with wrapper command");
            }
        }
    }

    /**
     * Applies zygote security policy for SEAndroid information.
     *
     * @param args non-null; zygote spawner arguments
     * @param peer non-null; peer credentials
     * @throws ZygoteSecurityException
     */
    private static void applyseInfoSecurityPolicy(
            Arguments args, Credentials peer, String peerSecurityContext)
            throws ZygoteSecurityException {
        int peerUid = peer.getUid();

        if (args.seInfo == null) {
            // nothing to check
            return;
        }

        if (!(peerUid == 0 || peerUid == Process.SYSTEM_UID)) {
            // All peers with UID other than root or SYSTEM_UID
            throw new ZygoteSecurityException(
                    "This UID may not specify SEAndroid info.");
        }

        boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext,
                                                     peerSecurityContext,
                                                     "zygote",
                                                     "specifyseinfo");
        if (!allowed) {
            throw new ZygoteSecurityException(
                    "Peer may not specify SEAndroid info");
        }

        return;
    }


理所当然的,在启动一个新的进程时,frameworks/base/core/java/android/os/Process.java中也会加入SEAndroid信息seInfo。 

 

 

QQ 240136495

http://www.jsqj.cc 军事新闻 爱好者。


小明做IT
关注
专栏目录
Android SELinux——上下文Context介绍(九)
小旭的专栏
10-15 724
前面文章中介绍 allow 语句中所说的 "映射",即将一个进程关联到一个 type,或者将一个文件关联到一个 type,是通过 context 来完成的。1、进程Context在 SELinux 中,进程的上下文(context)包含了多个字段,用于描述该进程的安全属性。user=_app:user 标识了拥有该进程SELinux 用户,_app 通常是 Android 系统中应用程序的默认用户,表示这是一个常规的 app。
SEAndroid&SELinux
gbmaotai的博客
11-07 416
SELinux SELinux则是由NSA(美国国安局)在Linux社区的帮助下设计的一个针对Linux的安全强化系统。 在LinuxKernel中,SELinux通过LSM(LinuxSecurity Modules)实现. SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统。 自主访问控制模型(Discretionary Access Contr...
app属性seinfo 应用selinux上下文
LEAD_SOLO的专栏
08-18 561
seinfo用zygote创建app进程创建selinux上下文使用。不同签名会创建对应的selinux上下文。platform,system,untrusted等。 frameworks/base/services/core/java/com/android/server/pm/SELinuxMMAC.java中 getSeInfo()函数获取对应安装分配的值。特殊修改上下文看以针对此函数改动。 ...
Android 8.0 添加一个可以让phone进程访问的hal service需要修改的sepolicy文件
weixin_38422810的博客
08-15 942
1) device/qcom/sepolicy/common/file_contexts /(vendor|system/vendor)/bin/hw/android\.hardware\.extphone@1\.0-service u:object_r:hal_extphone_xl_exec:s0 2) device/qcom/sepolicy/common/radio.te allow...
setools-android 项目教程
最新发布
gitblog_00228的博客
10-11 274
setools-android 项目教程 setools-android Unofficial port of setools to Android with additional sepolicy-inject utility included ...
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 2711
https://blog.csdn.net/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.csdn.net/keheinash/article/details/101108686 https://blog.csdn.net/rikeyone/article/details/84337115 https://blog.csdn.net/u0112164
Android 4.4.2 SELinux 与系统关系详解三:根据Seinfo 为Package 设置安全上下文标签
万能的终端和网络
03-25 2441
在对Android 操作系统进行定制开发过程中,优势仅仅需要编译修改过的部分并烧写到设备上进行验证,下面是重编译打包boot.img,并自动烧写到设备的脚本文件。 [code=Python] echo on out/host/linux-x86/bin/mkbootfs out/target/product/hammerhead/root | out/host/linux-x86/bin/
selinux seinfo
Android 系统开发
11-07 207
/** * Selects a security label to a package based on input parameters and the seinfo tag taken * from a matched policy. All signature based policy stanzas are consulted and, if no match * is found, the default seinfo label of 'default' is used. The sec.
SE for Android 系列之整体概要(二)
简行之旅
12-11 1万+
所支持的MAC服务 MAC和MMAC功能概述: 标准的SELinux MAC 策略是基于type enforcement(TE,即类型强制访问)/ multi-level security (MLS,即多级别安全机制),也可以理解为是一种白名单机制;Install MMAC策略中的package和signature基本单元支持通过setinfo标签,来指定应用的context(安全上上
进程的安全上下文----SEAndroid in android 5.x
苞谷猿的技术bug
12-02 1943
SEAndroid使用两种方式为进程设置安全上下文 1.为独立进程静态的设置安全上下文        这和传统的LInux系统很像。android系统中的每个独立进程都对应着一个可执行文件。        以init为例,查看init进程启动脚本system/core/rootdir/init.rc,部分内容如下: on early-init     ...........     # Set
SEAndroid策略分析
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
SEAndroid安全机制框架分析
ufryyfdf的博客
02-18 206
SEAndroid安全机制框架分析
setools-策略sepolicy管理工具
01-30
setoos --- sesearch ---- Android平台下(armeabi/x86/mips/armeabi-v7a)策略sepolicy管理工具
SEAndroid原理分析
Casbin开源社区
01-22 3112
第1章 SEAndroid背景SEAndroid(Security Enhanced Android)是美国国家安全局(NSA)根据Android 以Linux 为内核基础的特性,将SELinux 修改移植到Android 系统上而形成的。SELinux通过提前编写各个进程的安全操作规则,防止其进行超越权限的访问来达到保障安全的目的。SEAndroid 一开始的关注点在于将SELinux 的机制引入
SELinux app权限配置
热门推荐
zhudaozhuan的专栏
03-23 2万+
SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app  第三方app,没有android平台签名,没有system权限 2)platform_app    有android平台签名,没有system权限 3)system_app      有android平台签名和system权限 从上面划分,权
seandroid机制总结
inquisiter
09-06 364
大概解释下吧,网上各种文章都写炸了, 1.首先安装的候通过签名在表Mac_premissions.xml中查询确定要创建的各种文件夹和文件的权限属性。 2.之后启动候通过上一步查询的seinfo确定启动进程的上下文属性类型。 3.最后就是根据进程上下文属性访问各种资源和属性。 文件上下文属性有 seapp_context大概长这样: # Input selectors: # isSy...
Android系统app的domain(安全上下文)设定方法
code/decode的博客
09-21 4160
背景 在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程的安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。 在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android App Selinux seapp权限详解
求变,从思想开始
05-07 1万+
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
如何给进程设置selinux标签
05-16
要给进程设置SELinux标签,可以使用以下命令: 1. `ps -eZ | grep <进程名>`:查看进程当前的SELinux标签。 2. `chcon -t <SELinux标签> <进程路径>`:设置进程SELinux标签。 其中,`<SELinux标签>`可以是系统预定义的标签,也可以是自定义标签。要查看系统预定义的标签列表,可以使用命令`seinfo -t`。 注意,设置进程SELinux标签需要具有足够的权限。如果当前用户没有足够的权限,可以使用`sudo`命令或切换到root用户来执行命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值