SeLinux 的编译逻辑

于 2024-04-02 16:57:51 发布
阅读量1.1k 收藏 22
点赞数 23
分类专栏: Android SEliunx权限机制 文章标签: android Selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littleyards/article/details/137241747
版权

Android 11 init进程对Selinux的处理一文中,我们知道,在init进程对Selinux的处理过程中,会将precompiled_sepolicy或者动态编译相关目录下的cil文件得到的compiled_sepolicy写入给内核。那么precompiled_sepolicy文件和cil文件是从哪里来的呢?

Selinux的编译逻辑基本都是在system\sepolicy\Android.mk文件中

首先关注Android.mk中的几个宏

PLAT_PUBLIC_POLICY := system/sepolicy/public
PLAT_PRIVATE_POLICY := system/sepolicy/private
PLAT_VENDOR_POLICY := system/sepolicy/vendor
SYSTEM_EXT_PUBLIC_POLICY := $(BOARD_PLAT_PUBLIC_SEPOLICY_DIR)
SYSTEM_EXT_PRIVATE_POLICY := $(BOARD_PLAT_PRIVATE_SEPOLICY_DIR)
PRODUCT_PUBLIC_POLICY := $(PRODUCT_PUBLIC_SEPOLICY_DIRS)
PRODUCT_PRIVATE_POLICY := $(PRODUCT_PRIVATE_SEPOLICY_DIRS)
BOARD_SEPOLICY_DIRS

其中BOARD_SEPOLICY_DIRS 可以由厂商自定义路径,这样厂商自己的文件也会加到Selinux的编译系统中。比如

BOARD_SEPOLICY_DIRS ?= \
    device/rockchip/common/sepolicy/vendor

precompiled_sepolicy的生成过程

#################################
include $(CLEAR_VARS)

LOCAL_MODULE := precompiled_sepolicy
LOCAL_MODULE_CLASS := ETC
LOCAL_MODULE_TAGS := optional
LOCAL_PROPRIETARY_MODULE := true

ifeq ($(BOARD_USES_ODMIMAGE),true)
LOCAL_MODULE_PATH := $(TARGET_OUT_ODM)/etc/selinux
else
LOCAL_MODULE_PATH := $(TARGET_OUT_VENDOR)/etc/selinux
endif

如果有odm分区,目标文件precompiled_sepolicy就放在odm/etc/selinux目录下,否则就放在vendor/etc/selinux目录。

$(LOCAL_BUILT_MODULE): PRIVATE_CIL_FILES := $(all_cil_files)
$(LOCAL_BUILT_MODULE): PRIVATE_NEVERALLOW_ARG := $(NEVERALLOW_ARG)
$(LOCAL_BUILT_MODULE): $(HOST_OUT_EXECUTABLES)/secilc $(all_cil_files) $(built_sepolicy_neverallows)
	$(hide) $(HOST_OUT_EXECUTABLES)/secilc -m -M true -G -c $(POLICYVERS) $(PRIVATE_NEVERALLOW_ARG) \
		$(PRIVATE_CIL_FILES) -o $@ -f /dev/null

通过secilc,将cil文件编译成目标文件precompiled_sepolicy,其中cil文件包含

all_cil_files := \
    $(built_plat_cil) \
    $(built_plat_mapping_cil) \
    $(built_pub_vers_cil) \
    $(built_vendor_cil)

ifdef HAS_SYSTEM_EXT_SEPOLICY
all_cil_files += $(built_system_ext_cil)
endif

ifdef HAS_SYSTEM_EXT_PUBLIC_SEPOLICY
all_cil_files += $(built_system_ext_mapping_cil)
endif

ifdef HAS_PRODUCT_SEPOLICY
all_cil_files += $(built_product_cil)
endif

ifdef HAS_PRODUCT_PUBLIC_SEPOLICY
all_cil_files += $(built_product_mapping_cil)
endif

ifdef BOARD_ODM_SEPOLICY_DIRS
all_cil_files += $(built_odm_cil)
endif

再来看一下cil文件的生成过程,以built_plat_cil 为例,其它的都类似

built_plat_cil
built_plat_cil是在生成plat_sepolicy.cil的时候赋值的

include $(CLEAR_VARS)

LOCAL_MODULE := plat_sepolicy.cil

//省略
built_plat_cil := $(LOCAL_BUILT_MODULE)

plat_sepolicy.cil 会放在system/etc/selinux目录下

include $(CLEAR_VARS)

LOCAL_MODULE := plat_sepolicy.cil
LOCAL_MODULE_CLASS := ETC
LOCAL_MODULE_TAGS := optional
LOCAL_MODULE_PATH := $(TARGET_OUT)/etc/selinux

收集 PLAT_PRIVATE_POLICY和 PLAT_PUBLIC_POLICY 目录下的 文件,通过transform-policy-to-conf 进行宏展开,得到plat_policy.conf文件。其中PLAT_PRIVATE_POLICY和PLAT_PUBLIC_POLICY 对应的目录,参考前面提到的Android.mk中的宏

policy_files := $(call build_policy, $(sepolicy_build_files), \
  $(PLAT_PUBLIC_POLICY) $(PLAT_PRIVATE_POLICY))
plat_policy.conf := $(intermediates)/plat_policy.conf
$(plat_policy.conf): PRIVATE_MLS_SENS := $(MLS_SENS)
$(plat_policy.conf): PRIVATE_MLS_CATS := $(MLS_CATS)
$(plat_policy.conf): PRIVATE_TARGET_BUILD_VARIANT := $(TARGET_BUILD_VARIANT)
$(plat_policy.conf): PRIVATE_TGT_ARCH := $(my_target_arch)
$(plat_policy.conf): PRIVATE_TGT_WITH_ASAN := $(with_asan)
$(plat_policy.conf): PRIVATE_TGT_WITH_NATIVE_COVERAGE := $(with_native_coverage)
$(plat_policy.conf): PRIVATE_ADDITIONAL_M4DEFS := $(LOCAL_ADDITIONAL_M4DEFS)
$(plat_policy.conf): PRIVATE_SEPOLICY_SPLIT := $(PRODUCT_SEPOLICY_SPLIT)
$(plat_policy.conf): PRIVATE_COMPATIBLE_PROPERTY := $(PRODUCT_COMPATIBLE_PROPERTY)
$(plat_policy.conf): PRIVATE_TREBLE_SYSPROP_NEVERALLOW := $(treble_sysprop_neverallow)
$(plat_policy.conf): PRIVATE_POLICY_FILES := $(policy_files)
$(plat_policy.conf): $(policy_files) $(M4)
	$(transform-policy-to-conf)
	$(hide) sed '/^\s*dontaudit.*;/d' $@ | sed '/^\s*dontaudit/,/;/d' > $@.dontaudit

sepolicy_build_files 包含的文件有:

sepolicy_build_files := security_classes \
                        initial_sids \
                        access_vectors \
                        global_macros \
                        neverallow_macros \
                        mls_macros \
                        mls_decl \
                        mls \
                        policy_capabilities \
                        te_macros \
                        attributes \
                        ioctl_defines \
                        ioctl_macros \
                        *.te \
                        roles_decl \
                        roles \
                        users \
                        initial_sid_contexts \
                        fs_use \
                        genfs_contexts \
                        port_contexts

收集到的文件,宏展开得到plat_policy.conf后,通过checkpolicy生成plat_sepolicy.cil目标文件

$(LOCAL_BUILT_MODULE): PRIVATE_ADDITIONAL_CIL_FILES := \
  $(call build_policy, $(sepolicy_build_cil_workaround_files), $(PLAT_PRIVATE_POLICY))
$(LOCAL_BUILT_MODULE): PRIVATE_NEVERALLOW_ARG := $(NEVERALLOW_ARG)
$(LOCAL_BUILT_MODULE): $(plat_policy.conf) $(HOST_OUT_EXECUTABLES)/checkpolicy \
  $(HOST_OUT_EXECUTABLES)/secilc \
  $(call build_policy, $(sepolicy_build_cil_workaround_files), $(PLAT_PRIVATE_POLICY)) \
  $(built_sepolicy_neverallows)
	@mkdir -p $(dir $@)
	$(hide) $(CHECKPOLICY_ASAN_OPTIONS) $(HOST_OUT_EXECUTABLES)/checkpolicy -M -C -c \
		$(POLICYVERS) -o $@.tmp $<
	$(hide) cat $(PRIVATE_ADDITIONAL_CIL_FILES) >> $@.tmp
	$(hide) $(HOST_OUT_EXECUTABLES)/secilc -m -M true -G -c $(POLICYVERS) $(PRIVATE_NEVERALLOW_ARG) $@.tmp -o /dev/null -f /dev/null
	$(hide) mv $@.tmp $@

总结编译的整体逻辑

在这里插入图片描述

1,查找相关目录下的te文件,进行宏展开,转化成policy.conf文件。
2,将 policy.conf 文件,通过checkpolicy,编译成中间文件*.cil
3,通过secilc工具,编译成二进制文件precompiled_sepolicy

最终根目录系统结构为

console:/ # ls -al system/etc/selinux/
total 1764
drwxr-xr-x  3 root root    4096 2024-01-17 18:00 .
drwxr-xr-x 14 root root    4096 2024-01-24 16:47 ..
drwxr-xr-x  2 root root    4096 2024-01-17 17:59 mapping
-rw-r--r--  1 root root   41949 2024-01-17 17:59 plat_file_contexts
-rw-r--r--  1 root root    8752 2024-01-17 17:59 plat_hwservice_contexts
-rw-r--r--  1 root root    7371 2024-01-17 17:59 plat_mac_permissions.xml
-rw-r--r--  1 root root   47325 2024-01-17 17:59 plat_property_contexts
-rw-r--r--  1 root root    2898 2024-01-17 18:00 plat_seapp_contexts
-rw-r--r--  1 root root 1646622 2024-01-17 17:59 plat_sepolicy.cil
-rw-r--r--  1 root root      65 2024-01-17 17:59 plat_sepolicy_and_mapping.sha256
-rw-r--r--  1 root root   18876 2024-01-17 17:59 plat_service_contexts

console:/ # ls -al vendor/etc/selinux/
total 1184
drwxr-xr-x  2 root shell   4096 2024-01-17 18:00 .
drwxr-xr-x 13 root shell   4096 2024-01-24 16:46 ..
-rw-r--r--  1 root root  926046 2024-01-17 18:00 plat_pub_versioned.cil
-rw-r--r--  1 root root       5 2024-01-17 17:59 plat_sepolicy_vers.txt
-rw-r--r--  1 root root    1511 2024-01-17 17:59 selinux_denial_metadata
-rw-r--r--  1 root root   21807 2024-01-17 17:59 vendor_file_contexts
-rw-r--r--  1 root root     280 2024-01-17 17:59 vendor_hwservice_contexts
-rw-r--r--  1 root root    6751 2024-01-17 17:59 vendor_mac_permissions.xml
-rw-r--r--  1 root root    3900 2024-01-17 17:59 vendor_property_contexts
-rw-r--r--  1 root root       0 2024-01-17 18:00 vendor_seapp_contexts
-rw-r--r--  1 root root  216664 2024-01-17 18:00 vendor_sepolicy.cil
-rw-r--r--  1 root root     214 2024-01-17 17:59 vendor_service_contexts
-rw-r--r--  1 root root     130 2024-01-17 18:00 vndservice_contexts

console:/ # ls -al odm/etc/selinux/
total 556
drwxr-xr-x 2 root root   4096 2024-01-17 18:00 .
drwxr-xr-x 3 root root   4096 2024-01-17 18:00 ..
-rw-r--r-- 1 root root 545403 2024-01-17 18:00 precompiled_sepolicy
-rw-r--r-- 1 root root     65 2024-01-17 18:00 precompiled_sepolicy.plat_sepolicy_and_mapping.sha256
-rw-r--r-- 1 root root     65 2024-01-17 18:00 precompiled_sepolicy.product_sepolicy_and_mapping.sha256
-rw-r--r-- 1 root root     65 2024-01-17 18:00 precompiled_sepolicy.system_ext_sepolicy_and_mapping.sha256

上面只是简要的分析了一下编译过程,具体的还需要分析Android.mk文件。

参考Android.mk文件,我们如果更改了Selinux某些内容,可以执行make selinux_policy或者mmma system/sepolicy 进行模块编译就行了,不用整编系统,然后替换system/vendor 下相关的文件即可。

Android SELinux——添加新服务策略(十二)
小旭的专栏
10-17 711
通过前面的学习我们也大致了解 SELinux 的相关只是,这里我们就来看一下实际开发中,如果需要为厂商新增的一个自定义服务添加相关权限该如何操作。
Android SELinux——neverallow问题处理(十六)
最新发布
小旭的专栏
10-22 514
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3209
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
编译selinux
Zero_plucky的博客
03-16 201
ls -Zl 查看权限。
android selinux 编译,Android应用开发Android SElinux相关
weixin_28956461的博客
05-26 716
本文将带你了解Android应用开发Android SElinux相关,希望本文对大家学Android有所帮助。"SEAndroid app分类SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):untrusted_app 第三方app,没有Android平台签名,没有system权限platform_app 有android平台签名,...
编译 SELinux 政策
一步一个脚印
08-18 2224
本文介绍了如何编译 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行编译。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策编译流程合并了所有 sepolicy 片段,然后在根目录中生成了整体文件。这意味着 SOC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/B 设备)或...
编译linux源码的工具,selinux
weixin_34186408的博客
05-02 217
Please submit all bug reports and patches to selinux@tycho.nsa.gov.Subscribe via selinux-join@tycho.nsa.gov.Build dependencies on Fedora:yum install audit-libs-devel bison bzip2-devel dbus-devel dbus-...
SeLinux详解
m0_37571604的博客
07-23 645
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinuxAndroid可以更好地保护和限制系统服务对应用数据和系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许的操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
SELinux访问控制机制系列:SELinux概述
路漫漫其修远兮,吾将上下而求索。
05-16 1976
SELinux使用了分级的强制访问控制,是Linux内核的重要安全措施。SELinux的安全策略工具可从http://oss.tresys.com下载。本篇分析了SELinux的安全机制,介绍了安全策略配置语言、内核策略库的结构,简述了SELinux内核模块的实现,还分析了用户空间的客体管理器。 1. SELinux概述 SELinux是安全增强的Linux,是Security-enhanced ...
如何确定问题是否与selinux相关
qq_37610155的博客
05-04 611
一, 如何看问题是否与SELinux 相关? 1. 将SELinux 调整到Permissive 模式测试. 将SELinux 模式调整到Permissive 模式,然后再测试确认是否与SELinux 约束相关. ENG 版本: adb shell setenforce 0 如果还能复现问题,则与SELinux 无关, 如果原本很容易复现, 而Permissive mode 不能再复现, 那么就...
SELinux零知识学习三、SELinux应用层源码下载、编译和安装
phmatthaus的专栏
03-31 986
SELinux零知识学习三、SELinux应用层源码下载、编译和安装
深入理解SELinux SEAndroid(最后部分)
热门推荐
Innost的专栏
02-23 4万+
接第二部分的内容(http://blog.csdn.net/innost/article/details/19641487)SEAndroid最后一部分全文PDF下载地址为:http://vdisk.weibo.com/s/z68f8l0xZUS9w     深入理解SELinux/SEAndroid(结局)二  SEAndroid源码分析有了上文的SELinux的基础知识,本节再来看看Googl
SELinux编译加载源码和模块
code/decode的博客
04-01 6126
在https://koji.fedoraproject.org/koji/packageinfo?packageID=32下载代码包,根据http://selinuxproject.org/page/NB_RefPolicy#Building_the_Fedora_Policy教程进行编译安装。安装完成功后,可以在/etc/selinux/看到新增了一个目录:refpolicy-rhczx,这个策略
SElinux安全操作系统---RTEMS编译开发环境搭建
chuoceng6947的博客
12-28 315
开发板:天嵌TQ2440标板 系统:win10+VMware+Ubuntu16.0.4 代码工具:sourceinsight 如果使用win10系统,而不是直接的linux系统开发,应该搭建win平台的嵌入式开发环境和VMware的linux开发编译环境。 首先搭建win10嵌入式开发...
linux 内核编译防火墙,linux中的内核级防火墙(SELINUX
weixin_35543991的博客
04-30 294
SElinux是基于内核开发出来的一种安全机制,被称之为内核级加强型防火墙,有力的提升了系统的安全性。SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能在linux系统中使用 getenforce 命令可以查看selinux的状态:disabled 为关闭状态,对服务和功能都没有限制enforcing 为强制状态,对服务和功能都进行限制permissiv...
本地编译selinux权限验证
Thatgriler的博客
06-20 341
本地编译验证selinux
Android P SELinux (一) 基础概念
headwind的博客
08-14 4024
在处理了一些SELinux相关的问题之后,深深厌恶这个东西,一打开就报一大堆权限问题,添加te权限还特别麻烦,第一次搞下来没有1-2天是不行的。 抽时间查阅相关资料后,结合理论知识和源码进行分析,随着在项目中不断处理了一些CTS neverallow的失败项,慢慢地对SELinux有了更深入的理解,接下来的内容将分别介绍基础概念、SELinux开机初始化、SELinux编译相关和实际案例分享,让大家对SELinux有更加深入的认识。 学习一个模块的东西,我更喜欢从实际的问题出发去探索,因为目标很明确,不会.
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 2322
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
yocto rocko怎么单独编译meta-selinux
05-25
要单独编译meta-selinux,可以执行以下步骤: 1. 进入yocto的build目录。 2. 运行bitbake-layers show-appends命令,查看当前的layer列表和appends列表。 3. 如果meta-selinux层没有被添加到BBLAYERS变量中,需要手动将其添加。可以在conf/bblayers.conf文件中添加: ``` BBLAYERS ?= " \ /path/to/yocto/meta \ /path/to/yocto/meta-poky \ /path/to/yocto/meta-yocto-bsp \ /path/to/yocto/meta-selinux \ " ``` 其中,/path/to/yocto是指你的yocto根目录路径。 4. 执行以下命令,更新配置: ``` source oe-init-build-env ``` 5. 执行以下命令,编译meta-selinux: ``` bitbake meta-selinux ``` 这个命令会编译所有与meta-selinux相关的软件包。 6. 如果只想编译meta-selinux中的一个软件包,可以使用类似于以下的命令: ``` bitbake <package-name> -c compile ``` 其中,<package-name>是指要编译的软件包的名称,例如libselinux
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值