SeLinux 的编译逻辑

最新推荐文章于 2024-04-30 22:55:39 发布
最新推荐文章于 2024-04-30 22:55:39 发布
阅读量672 收藏 20
点赞数 22
分类专栏: Android SEliunx权限机制 文章标签: android Selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littleyards/article/details/137241747
版权

Android 11 init进程对Selinux的处理一文中,我们知道,在init进程对Selinux的处理过程中,会将precompiled_sepolicy或者动态编译相关目录下的cil文件得到的compiled_sepolicy写入给内核。那么precompiled_sepolicy文件和cil文件是从哪里来的呢?

Selinux的编译逻辑基本都是在system\sepolicy\Android.mk文件中

首先关注Android.mk中的几个宏

PLAT_PUBLIC_POLICY := system/sepolicy/public
PLAT_PRIVATE_POLICY := system/sepolicy/private
PLAT_VENDOR_POLICY := system/sepolicy/vendor
SYSTEM_EXT_PUBLIC_POLICY := $(BOARD_PLAT_PUBLIC_SEPOLICY_DIR)
SYSTEM_EXT_PRIVATE_POLICY := $(BOARD_PLAT_PRIVATE_SEPOLICY_DIR)
PRODUCT_PUBLIC_POLICY := $(PRODUCT_PUBLIC_SEPOLICY_DIRS)
PRODUCT_PRIVATE_POLICY := $(PRODUCT_PRIVATE_SEPOLICY_DIRS)
BOARD_SEPOLICY_DIRS

其中BOARD_SEPOLICY_DIRS 可以由厂商自定义路径,这样厂商自己的文件也会加到Selinux的编译系统中。比如

BOARD_SEPOLICY_DIRS ?= \
    device/rockchip/common/sepolicy/vendor

precompiled_sepolicy的生成过程

#################################
include $(CLEAR_VARS)

LOCAL_MODULE := precompiled_sepolicy
LOCAL_MODULE_CLASS := ETC
LOCAL_MODULE_TAGS := optional
LOCAL_PROPRIETARY_MODULE := true

ifeq ($(BOARD_USES_ODMIMAGE),true)
LOCAL_MODULE_PATH := $(TARGET_OUT_ODM)/etc/selinux
else
LOCAL_MODULE_PATH := $(TARGET_OUT_VENDOR)/etc/selinux
endif

如果有odm分区,目标文件precompiled_sepolicy就放在odm/etc/selinux目录下,否则就放在vendor/etc/selinux目录。

$(LOCAL_BUILT_MODULE): PRIVATE_CIL_FILES := $(all_cil_files)
$(LOCAL_BUILT_MODULE): PRIVATE_NEVERALLOW_ARG := $(NEVERALLOW_ARG)
$(LOCAL_BUILT_MODULE): $(HOST_OUT_EXECUTABLES)/secilc $(all_cil_files) $(built_sepolicy_neverallows)
	$(hide) $(HOST_OUT_EXECUTABLES)/secilc -m -M true -G -c $(POLICYVERS) $(PRIVATE_NEVERALLOW_ARG) \
		$(PRIVATE_CIL_FILES) -o $@ -f /dev/null

通过secilc,将cil文件编译成目标文件precompiled_sepolicy,其中cil文件包含

all_cil_files := \
    $(built_plat_cil) \
    $(built_plat_mapping_cil) \
    $(built_pub_vers_cil) \
    $(built_vendor_cil)

ifdef HAS_SYSTEM_EXT_SEPOLICY
all_cil_files += $(built_system_ext_cil)
endif

ifdef HAS_SYSTEM_EXT_PUBLIC_SEPOLICY
all_cil_files += $(built_system_ext_mapping_cil)
endif

ifdef HAS_PRODUCT_SEPOLICY
all_cil_files += $(built_product_cil)
endif

ifdef HAS_PRODUCT_PUBLIC_SEPOLICY
all_cil_files += $(built_product_mapping_cil)
endif

ifdef BOARD_ODM_SEPOLICY_DIRS
all_cil_files += $(built_odm_cil)
endif

再来看一下cil文件的生成过程,以built_plat_cil 为例,其它的都类似

built_plat_cil
built_plat_cil是在生成plat_sepolicy.cil的时候赋值的

include $(CLEAR_VARS)

LOCAL_MODULE := plat_sepolicy.cil

//省略
built_plat_cil := $(LOCAL_BUILT_MODULE)

plat_sepolicy.cil 会放在system/etc/selinux目录下

include $(CLEAR_VARS)

LOCAL_MODULE := plat_sepolicy.cil
LOCAL_MODULE_CLASS := ETC
LOCAL_MODULE_TAGS := optional
LOCAL_MODULE_PATH := $(TARGET_OUT)/etc/selinux

收集 PLAT_PRIVATE_POLICY和 PLAT_PUBLIC_POLICY 目录下的 文件,通过transform-policy-to-conf 进行宏展开,得到plat_policy.conf文件。其中PLAT_PRIVATE_POLICY和PLAT_PUBLIC_POLICY 对应的目录,参考前面提到的Android.mk中的宏

policy_files := $(call build_policy, $(sepolicy_build_files), \
  $(PLAT_PUBLIC_POLICY) $(PLAT_PRIVATE_POLICY))
plat_policy.conf := $(intermediates)/plat_policy.conf
$(plat_policy.conf): PRIVATE_MLS_SENS := $(MLS_SENS)
$(plat_policy.conf): PRIVATE_MLS_CATS := $(MLS_CATS)
$(plat_policy.conf): PRIVATE_TARGET_BUILD_VARIANT := $(TARGET_BUILD_VARIANT)
$(plat_policy.conf): PRIVATE_TGT_ARCH := $(my_target_arch)
$(plat_policy.conf): PRIVATE_TGT_WITH_ASAN := $(with_asan)
$(plat_policy.conf): PRIVATE_TGT_WITH_NATIVE_COVERAGE := $(with_native_coverage)
$(plat_policy.conf): PRIVATE_ADDITIONAL_M4DEFS := $(LOCAL_ADDITIONAL_M4DEFS)
$(plat_policy.conf): PRIVATE_SEPOLICY_SPLIT := $(PRODUCT_SEPOLICY_SPLIT)
$(plat_policy.conf): PRIVATE_COMPATIBLE_PROPERTY := $(PRODUCT_COMPATIBLE_PROPERTY)
$(plat_policy.conf): PRIVATE_TREBLE_SYSPROP_NEVERALLOW := $(treble_sysprop_neverallow)
$(plat_policy.conf): PRIVATE_POLICY_FILES := $(policy_files)
$(plat_policy.conf): $(policy_files) $(M4)
	$(transform-policy-to-conf)
	$(hide) sed '/^\s*dontaudit.*;/d' $@ | sed '/^\s*dontaudit/,/;/d' > $@.dontaudit

sepolicy_build_files 包含的文件有:

sepolicy_build_files := security_classes \
                        initial_sids \
                        access_vectors \
                        global_macros \
                        neverallow_macros \
                        mls_macros \
                        mls_decl \
                        mls \
                        policy_capabilities \
                        te_macros \
                        attributes \
                        ioctl_defines \
                        ioctl_macros \
                        *.te \
                        roles_decl \
                        roles \
                        users \
                        initial_sid_contexts \
                        fs_use \
                        genfs_contexts \
                        port_contexts

收集到的文件,宏展开得到plat_policy.conf后,通过checkpolicy生成plat_sepolicy.cil目标文件

$(LOCAL_BUILT_MODULE): PRIVATE_ADDITIONAL_CIL_FILES := \
  $(call build_policy, $(sepolicy_build_cil_workaround_files), $(PLAT_PRIVATE_POLICY))
$(LOCAL_BUILT_MODULE): PRIVATE_NEVERALLOW_ARG := $(NEVERALLOW_ARG)
$(LOCAL_BUILT_MODULE): $(plat_policy.conf) $(HOST_OUT_EXECUTABLES)/checkpolicy \
  $(HOST_OUT_EXECUTABLES)/secilc \
  $(call build_policy, $(sepolicy_build_cil_workaround_files), $(PLAT_PRIVATE_POLICY)) \
  $(built_sepolicy_neverallows)
	@mkdir -p $(dir $@)
	$(hide) $(CHECKPOLICY_ASAN_OPTIONS) $(HOST_OUT_EXECUTABLES)/checkpolicy -M -C -c \
		$(POLICYVERS) -o $@.tmp $<
	$(hide) cat $(PRIVATE_ADDITIONAL_CIL_FILES) >> $@.tmp
	$(hide) $(HOST_OUT_EXECUTABLES)/secilc -m -M true -G -c $(POLICYVERS) $(PRIVATE_NEVERALLOW_ARG) $@.tmp -o /dev/null -f /dev/null
	$(hide) mv $@.tmp $@

总结编译的整体逻辑

在这里插入图片描述

1,查找相关目录下的te文件,进行宏展开,转化成policy.conf文件。
2,将 policy.conf 文件,通过checkpolicy,编译成中间文件*.cil
3,通过secilc工具,编译成二进制文件precompiled_sepolicy

最终根目录系统结构为

console:/ # ls -al system/etc/selinux/
total 1764
drwxr-xr-x  3 root root    4096 2024-01-17 18:00 .
drwxr-xr-x 14 root root    4096 2024-01-24 16:47 ..
drwxr-xr-x  2 root root    4096 2024-01-17 17:59 mapping
-rw-r--r--  1 root root   41949 2024-01-17 17:59 plat_file_contexts
-rw-r--r--  1 root root    8752 2024-01-17 17:59 plat_hwservice_contexts
-rw-r--r--  1 root root    7371 2024-01-17 17:59 plat_mac_permissions.xml
-rw-r--r--  1 root root   47325 2024-01-17 17:59 plat_property_contexts
-rw-r--r--  1 root root    2898 2024-01-17 18:00 plat_seapp_contexts
-rw-r--r--  1 root root 1646622 2024-01-17 17:59 plat_sepolicy.cil
-rw-r--r--  1 root root      65 2024-01-17 17:59 plat_sepolicy_and_mapping.sha256
-rw-r--r--  1 root root   18876 2024-01-17 17:59 plat_service_contexts

console:/ # ls -al vendor/etc/selinux/
total 1184
drwxr-xr-x  2 root shell   4096 2024-01-17 18:00 .
drwxr-xr-x 13 root shell   4096 2024-01-24 16:46 ..
-rw-r--r--  1 root root  926046 2024-01-17 18:00 plat_pub_versioned.cil
-rw-r--r--  1 root root       5 2024-01-17 17:59 plat_sepolicy_vers.txt
-rw-r--r--  1 root root    1511 2024-01-17 17:59 selinux_denial_metadata
-rw-r--r--  1 root root   21807 2024-01-17 17:59 vendor_file_contexts
-rw-r--r--  1 root root     280 2024-01-17 17:59 vendor_hwservice_contexts
-rw-r--r--  1 root root    6751 2024-01-17 17:59 vendor_mac_permissions.xml
-rw-r--r--  1 root root    3900 2024-01-17 17:59 vendor_property_contexts
-rw-r--r--  1 root root       0 2024-01-17 18:00 vendor_seapp_contexts
-rw-r--r--  1 root root  216664 2024-01-17 18:00 vendor_sepolicy.cil
-rw-r--r--  1 root root     214 2024-01-17 17:59 vendor_service_contexts
-rw-r--r--  1 root root     130 2024-01-17 18:00 vndservice_contexts

console:/ # ls -al odm/etc/selinux/
total 556
drwxr-xr-x 2 root root   4096 2024-01-17 18:00 .
drwxr-xr-x 3 root root   4096 2024-01-17 18:00 ..
-rw-r--r-- 1 root root 545403 2024-01-17 18:00 precompiled_sepolicy
-rw-r--r-- 1 root root     65 2024-01-17 18:00 precompiled_sepolicy.plat_sepolicy_and_mapping.sha256
-rw-r--r-- 1 root root     65 2024-01-17 18:00 precompiled_sepolicy.product_sepolicy_and_mapping.sha256
-rw-r--r-- 1 root root     65 2024-01-17 18:00 precompiled_sepolicy.system_ext_sepolicy_and_mapping.sha256

上面只是简要的分析了一下编译过程,具体的还需要分析Android.mk文件。

参考Android.mk文件,我们如果更改了Selinux某些内容,可以执行make selinux_policy或者mmma system/sepolicy 进行模块编译就行了,不用整编系统,然后替换system/vendor 下相关的文件即可。

Kbattery
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
selinux 基础介绍
11-01
介绍基础的selinux背景、策略规则等
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
关闭selinux命令
01-25
关闭selinux命令
SELinux 入门详解
01-09
回到 Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 在我开始之前,你应该已经了解的
SELINUX工作原理详解
09-14
主要介绍了SELINUX工作原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android安全策略SELinux
qq_27672101的博客
08-01 9579
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android8.0 SELinux详解
热门推荐
从0到1,突破自己
02-08 3万+
该文档意译自Android官方 《SELinux for Android 8.0》,主要描述了SELinux策略在AndroidO版本上发生的一些变化,在AndroidO版本上,SELinux的客制化设计支持SELinux策略的模块化和可更新性。其设计目标是为了芯片厂商和ODM厂商在能够独立的客制化SELinux配置。官方文档请移步:http://download.csdn.net/downloa...
Android SELinux安全机制与权限管理那些事
道阻且长,行则将至。
05-18 1711
Android 漏洞挖掘和安全研究过程中,不可避免地会涉及到跟 Android SELinux 安全机制打交道,比如当你手握一个 System 应用的路径穿越的漏洞的时候想去覆写其他应用沙箱的可执行文件的时候,SELinux 极大可能成为你成功路上最大的拦路虎……
编译 SELinux 政策
一步一个脚印
08-18 2133
本文介绍了如何编译 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行编译。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策编译流程合并了所有 sepolicy 片段,然后在根目录中生成了整体文件。这意味着 SOC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/B 设备)或...
Android 11 裁剪系统显示区域(适配异形屏)
ansondroider的博客
04-27 803
在显示技术中,"OverScan"(超扫描)是一种调整显示图像边界的技术。通常情况下,OverScan 会在显示屏的边缘周围裁剪一小部分图像。这种裁剪是为了确保显示内容在屏幕上的完整可见性,尤其是在老式电视或投影仪等设备上,可能存在图像边缘出现失真或过多噪点的问题。OverScan 通过裁剪图像边缘,可以隐藏显示器边缘的任何不完美之处,例如边缘上的噪点、失真或黑边。这有助于确保图像在屏幕上的边缘部分看起来整洁且不受干扰,提供更好的观看体验。
安卓获取SHA
最新发布
qq_36237165的博客
04-30 281
1、电脑上来存在eclipse的用户或正在使用此开发工具的用户就简单了,直接利用eclipse 走打包流程,再打包的时候选择相应的签名,那么在当前面板的下面便会出现签名的相关信息。3)确保安装了jdk并且正确配置了环境变量, 在该目录下打开cmd,输入命令 :keytool -printcert -file CERT.RSA。1) 将apk解压(1.可以直接用解压工具直接解压,如果不行就修改后缀为 .rar文件后),下面解压后的文件。便会出现响应的签名的信息了,如下图。然后输入相关的签名口令 回车。
如何使用PHP进行图片处理?
Xs_layla的博客
04-26 472
如何使用PHP进行图片处理?使用PHP进行图片处理是一项强大的功能,它可以让你在服务器端对图像进行各种操作,如裁剪、缩放、添加水印、调整颜色等。这通常通过使用GD库或Imagick扩展来实现。下面将详细介绍如何使用PHP和这两个工具进行图片处理。
AndroidStudio中虚拟机(AVD)无法启动,出现unable to locate adb错误
qq_58156721的博客
04-24 397
手机连上电脑 ——> 打开开发者模式,开启usb调试——>驱动管理类软件(360驱动大师/驱动人生/驱动精灵)检测可安装的驱动——>根据手机安装对应驱动,问题解决。首先通过File-Project Structure-Project SDK检查SDK有没有被选中。1.检查Android SDK Platform-Tools是否安装(个人是通过这个方法解决的)步骤:打开file -> settings ,搜索SDK。之后点击"-",在点击Apply进行安装。3.端口被占用(概率极小)2.可能是驱动的问题。
动手写一个简单的Android 表格控件支持固定列
WeiPR的博客
04-30 553
自己动手写一个支持固定列、滚动的简单易用Android表格控件
android layout 的文件夹可以创建子文件夹吗
xie__jin__cheng的博客
04-27 210
Android Studio中,你可以通过在layout文件夹下直接创建子文件夹的方式来实现。但需要注意的是,直接创建子文件夹后,Android可能无法识别这些子文件夹为资源文件夹。为了让Android能够识别这些子文件夹作为资源文件夹,你需要在项目的。android layout 的文件夹可以创建子文件夹吗?因为layout文件夹中的文件一多管理起来就很麻烦,如果可以分类管理起来就会轻松许多。通过以上步骤,你就可以在Android layout的文件夹中创建并使用子文件夹了。文件中进行相应的配置。
Android使用ProtoBuf 适配 gradle7.5 gradle8.0
wsdxho的博客
04-26 685
android 配置 protobuf插件 (gradle7.5 gradle8.0 适配)
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
qq_43670077的博客
04-30 173
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
第11章 Android特色开发——基于位置的服务
Roderick888888的博客
04-25 1289
基于位置的服务简称LBS,其实它本身并不是什么时髦的技术,主要的工作原理就是利用无线电通讯网络或GPS等定位方式来确定出移动设备所在的位置,而这种定位技术早在很多年前就已经出现了。在过去移动设备的功能极其有限,即使定位到了设备所在的位置,也就仅仅只是定位到了而已,我们并不能在位置的基础上进行一些其他的操作。而现在就大大不同了,有了Android系统作为载体,可以利用定位出的位置进行许多丰富多彩的操作。
Android IPC | Android多进程模式
Dev Blog
04-24 904
Android系统会为每个应用分配一定的内存,但是有些功能十分消耗内存,比如查看图片这种功能,这时为了防止该功能导致应用内存过多导致OOM,可以把该功能单独拎出来,在单独进程中进行,这样就可以获取双份内存,突破了单一应用的内存限制。关于Android的进程间通信(即IPC)有很多种方式,比如我们常用的AIDL、Socket等,而其中最重要而且最需要掌握的就是AIDL的使用和原理,简单来说它是通过Binder实现的。
yocto rocko怎么单独编译meta-selinux
05-25
要单独编译meta-selinux,可以执行以下步骤: 1. 进入yocto的build目录。 2. 运行bitbake-layers show-appends命令,查看当前的layer列表和appends列表。 3. 如果meta-selinux层没有被添加到BBLAYERS变量中,需要手动将其添加。可以在conf/bblayers.conf文件中添加: ``` BBLAYERS ?= " \ /path/to/yocto/meta \ /path/to/yocto/meta-poky \ /path/to/yocto/meta-yocto-bsp \ /path/to/yocto/meta-selinux \ " ``` 其中,/path/to/yocto是指你的yocto根目录路径。 4. 执行以下命令,更新配置: ``` source oe-init-build-env ``` 5. 执行以下命令,编译meta-selinux: ``` bitbake meta-selinux ``` 这个命令会编译所有与meta-selinux相关的软件包。 6. 如果只想编译meta-selinux中的一个软件包,可以使用类似于以下的命令: ``` bitbake <package-name> -c compile ``` 其中,<package-name>是指要编译的软件包的名称,例如libselinux

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值