Android CTS中neverallow规则生成过程

最新推荐文章于 2024-05-15 09:30:32 发布
最新推荐文章于 2024-05-15 09:30:32 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: Android 文章标签: android cts neverallow selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwugang43210/article/details/103754878
版权

CTS里面SELinux相关测试中neverallow测试项占绝大多数,Android系统开发者都应该知道,在修改sepolicy时,需要确保不能违反这些neverallow规则,不然会过不了CTS。CTS中nerverallow测试都是在SELinuxNeverallowRulesTest.java文件中,并且从AOSP代码中发现该文件不是人工提交的,而是通过python脚本生成的,为了以后更好的修改sepolicy,就需要了解下SELinuxNeverallowRulesTest.java是如何生成的。

Makefile

首先看下SELinuxNeverallowRulesTest.java的生成的Makefile.

selinux_general_policy := $(call intermediates-dir-for,ETC,general_sepolicy.conf)/general_sepolicy.conf

selinux_neverallow_gen := cts/tools/selinux/SELinuxNeverallowTestGen.py

selinux_neverallow_gen_data := cts/tools/selinux/SELinuxNeverallowTestFrame.py

LOCAL_ADDITIONAL_DEPENDENCIES := $(COMPATIBILITY_TESTCASES_OUT_cts)/sepolicy-analyze

LOCAL_GENERATED_SOURCES := $(call local-generated-sources-dir)/android/cts/security/SELinuxNeverallowRulesTest.java # 目标文件

$(LOCAL_GENERATED_SOURCES) : PRIVATE_SELINUX_GENERAL_POLICY := $(selinux_general_policy)
$(LOCAL_GENERATED_SOURCES) : $(selinux_neverallow_gen) $(selinux_general_policy) $(selinux_neverallow_gen_data)
	mkdir -p $(dir $@)
	$< $(PRIVATE_SELINUX_GENERAL_POLICY) $@
# $< 为:右边依赖的第一个元素, 即 $(selinux_neverallow_gen) = cts/tools/selinux/SELinuxNeverallowTestGen.py
# $@ 为:左边目标,即要生成的目标文件SELinuxNeverallowRulesTest.java
# 这条命令相当于 cts/tools/selinux/SELinuxNeverallowTestGen.py $(call intermediates-dirfor,ETC,general_sepolicy.conf)/general_sepolicy.conf SELinuxNeverallowRulesTest.java

include $(BUILD_CTS_HOST_JAVA_LIBRARY)

从上面可以看到,执行SELinuxNeverallowTestGen.py general_sepolicy.conf SELinuxNeverallowRulesTest.java会生成SELinuxNeverallowRulesTest.java文件。

general_sepolicy.conf 生成

该文件的生成Makfile

# SELinux policy embedded into CTS.
# CTS checks neverallow rules of this policy against the policy of the device under test.
##################################
include $(CLEAR_VARS)

LOCAL_MODULE := general_sepolicy.conf # 目标文件
LOCAL_MODULE_CLASS := ETC
LOCAL_MODULE_TAGS := tests

include $(BUILD_SYSTEM)/base_rules.mk

$(LOCAL_BUILT_MODULE): PRIVATE_MLS_SENS := $(MLS_SENS)
$(LOCAL_BUILT_MODULE): PRIVATE_MLS_CATS := $(MLS_CATS)
$(LOCAL_BUILT_MODULE): PRIVATE_TARGET_BUILD_VARIANT := user
$(LOCAL_BUILT_MODULE): PRIVATE_TGT_ARCH := $(my_target_arch)
$(LOCAL_BUILT_MODULE): PRIVATE_WITH_ASAN := false
$(LOCAL_BUILT_MODULE): PRIVATE_SEPOLICY_SPLIT := cts
$(LOCAL_BUILT_MODULE): PRIVATE_COMPATIBLE_PROPERTY := cts
$(LOCAL_BUILT_MODULE): $(call build_policy, $(sepolicy_build_files), \
$(PLAT_PUBLIC_POLICY) $(PLAT_PRIVATE_POLICY)) # PLAT_PUBLIC_POLICY = syetem/sepolicy/public PLAT_PRIVATE_POLICY = system/sepolicy/private
	$(transform-policy-to-conf) # 这里是使用m4将te规则文件都处理合成为目标文件$@,即general_sepolicy.conf
	$(hide) sed '/dontaudit/d' $@ > $@.dontaudit

##################################

可以看到,general_sepolicy.conf 文件是将system/sepolicy/public和system/sepolicy/private规则文件整合在一起,而这些目录包含的是AOSP sepolicy大多数配置信息。

SELinuxNeverallowTestGen.py 脚本逻辑

生成的逻辑都是在该脚本中,下面脚本我调整了顺序,方便说明执行的逻辑,脚本代码

#!/usr/bin/env python

import re
import sys
import SELinuxNeverallowTestFrame

usage = "Usage: ./SELinuxNeverallowTestGen.py <input policy file> <output cts java source>"

if __name__ == "__main__":
    # check usage
    if len(sys.argv) != 3:
        print usage
        exit(1)
    input_file = sys.argv[1]
    output_file = sys.argv[2]

    # 这三个变量是同目录下SELinuxNeverallowTestFrame.py文件中的内容,是生成java文件的模版
    src_header = SELinuxNeverallowTestFrame.src_header
    src_body = SELinuxNeverallowTestFrame.src_body
    src_footer = SELinuxNeverallowTestFrame.src_footer

    # grab the neverallow rules from the policy file and transform into tests
    neverallow_rules = extract_neverallow_rules(input_file) # 提取neverallow规则从general_sepolicy.conf中
    i = 0
    for rule
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android P SELinux (四) CTS neverallow处理总结
headwind的博客
08-15 6090
CtsSecurityHostTestCases 首先CTS测试里面关于neverallow的用例,可以学习下这篇文章,代码是动态生成Android CTSneverallow规则生成过程 下面主要分享一些遇到的 CTS neverallow问题的处理方法: 目录一、一些权限的解决方案1.1、区分vendor域和system域1.2、setenforce的可行性1.3、dac_override 解决办法1.4、echo打印到终端1.5、读写U盘内容1.6、am 命令1.7、ioctl二、常见违反nev
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
Android security知识点总结
汽车以太网和SOA
05-15 5982
Android security知识点总结
Android R 应用setProperty权限
qq_29680135的博客
06-23 2183
android R 应用调用SystemProperties.set(“prop”, “0”);操作,添加seLinux步骤: 以下以设置SystemProperties.set(“vendor.myprop.testprop”, “0”);为例 1、device/qcom/sepolicy_vndr/generic/vendor/common/property.te type test_prop, property_type; test_prop为定义的prop名称,这个可以随便起名 2、device/q
Android13配置selinux让system应用可读sys,proc,SN号
zmlovelx(帅得不敢出门 程序员群31843264)
01-08 1036
Android13预置的system应用,需要读/sys, /proc目录,读(SN)serial number号, 需要修改selinux配置,否则会报avc错.其修改方法会比Android11复杂一些.。
Android 10 允许system_server 读写SD卡系统源码修改
BIG的专栏
05-10 679
Android 10 允许system_server 读写SD卡系统源码修改
Android获取selinux的setprop权限修改SystemProperties
zmlovelx(帅得不敢出门 程序员群31843264)
08-23 1355
自定义了个SystemProperties的属性,需要在system应用修改它,介绍MTK及展锐的设置方法,可扩展到其他平台. 比如代码要这么设置 ```java SystemProperties.set("property_name", "value"); ``` 默认会引发selinux无权限的报错.
Android cts Android cts Android cts Android cts
最新发布
07-19
1. **安装Android SDK**:确保开发环境已经安装了最新的Android SDK,并且具备运行CTS Verifier所需的全部组件。 2. **设备准备**:测试设备应该已经按照Android 11.0的要求进行了适当的配置,包括安装了相应的...
Android cts Android cts Android cts
07-19
Android cts Android cts Android cts
Cts.rar_android_android CTS
09-14
CTS,开发者和设备制造商需要运行这些测试用例,确保其设备满足Android兼容性定义文档(CDD,Compatibility Definition Document)的要求。CDD定义了设备必须支持的功能以及如何支持它们,以确保与Google Play和...
Android CTS Verifier测试手册.pdf
10-18
Android CTS (Compatibility Test Suite) Verifier 是一个关键的组件,用于确保Android设备与平台的兼容性,特别是在那些自动化测试工具难以覆盖的领域。这部分测试手册详细介绍了如何手动执行测试,以验证设备上的...
Android CTS Verifier 测试手册
01-23
该文档是由展讯下发的CTS Verifier指导文档,按照上面的指导去操作就能测完Verifier测试
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统干任何事情,都必
Android 手写一个简单的无限轮播 Banner
龙衣
11-05 917
推荐两个库 大神们已经写好轮子了,需要的自取,取完记得顺手star即可,非常感谢开源的作者们。 youth5201314/banner bingoogolapple/BGABanner-Android Bigkoo/Android-ConvenientBanner 实现效果 只有图片无限循环,需要添加标题一级指示器下标自行实现。 (忽略右边竖线背景,那是录屏没对好位置) 布局 &amp;amp;lt...
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 4932
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
selinux权限问题
xiaolifeidaofirst的博客
05-30 1717
neverallow user_t shadow_t:file write; 这条neverallow规则可以有效地阻止我们在策略添加一条允许user_t对类型为shadow_t的文件进行写操作的规则, 如果添加了这样的规则在编译时就会报错,这条规则不会移除访问权,它只是会产生编译错误。我们在编写策略时,neverallow规则往往放在allow规则前面,首先声明哪些访问是明确地被拒绝的,然后再声明哪些访问是可以接受的,这样就可以预防我们人为出错了。 neverall...
SELinux零知识学习二十四、SELinux策略语言之类型强制(9)
phmatthaus的专栏
11-22 279
SELinux零知识学习二十四、SELinux策略语言之类型强制(9)
Android O 自定义prop的问题小总结
qq_18906227的博客
06-12 3314
Android O 自定义prop的问题汇总~前言自定义prop自定义字段到system/build.prop总结 前言 忘记是Android M N O 哪个版本开始prop字段开始分放在system/build.prop . vendor/build.prop system/odm/default.prop …这种花里胡哨的地方了,然后有时候需要自定义一些prop可能有时候会放错位置,或者自定义的不可以被应用读写,最近看了看相关的东西,也查找了相关资料,觉得有丢丢资料不够的感觉,决定用blog给记录下来
Android引入动态库so的方法
热门推荐
liwugang43210的专栏
08-19 1万+
Android引入动态库so的方法标签(空格分隔): Android so 第三方库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值