selinux-sepolicy配置

最新推荐文章于 2024-08-05 10:08:29 发布
最新推荐文章于 2024-08-05 10:08:29 发布
阅读量5.6k 收藏 17
点赞数 3
分类专栏: Android系统开发 文章标签: selinux audit2allow android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcsbary/article/details/112939112
版权

一、概念

1. 运行模式

Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissive domain

       语法格式

Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:mls_level,如/dev/amaudio_.*   u:object_r:audio_device:s0

策略(policy)的格式是:allow domains types:classes permissions:

  • Action:通常为allow、neverallow,常用的为allow
  • Domains:代表一个进程或者一组进程
  • Type:对象通过label定义一个代替对象的类型(type),通过定义的type映射到类;每个类的不同类型的访问由权限表示,如type btmic_data_file, file_type, data_file_type,此处对象通过type映射到类。
  • Class:selinux中被访问的对象(object)的类型
  • Permissions:可被执行的和class相关的操作

Selinux权限配置,其中元素关系如下图

 

 

Policy的意思为:在domains域中允许对标记为type类型的class执行permission操作。

例如:allow appdomain app_data_file:file rw_file_perms,所有应用程序域都允许读取和写入标记为app_data_file的文件

        attribute、domains、types

attribute、domains、types概念:

  • An attribute is simply a name for a set of domains or types.
  • Each domain or type can be associated with any number of attributes
  • When a rule is written that specifies an attribute name, that name is automatically expanded to the list of domains or types associated with the attribute

属性只是一组域或类型的名称。每个域或类型都可以与任意数量的属性相关联,例如

type tr069_service, netdomain, coredomain, domain;

tr069_service域和netdomain, coredomain, domain域属性关联。这里netdomain, coredomain, domain都是与属性,此时新域tr069_service属于netdomain, coredomain, domain这些域。例如

type tr069_service_exec, exec_type, file_type, system_file_type;

tr069_service_exec类型和exec_type, file_type, system_file_type类型属性关联。exec_type, file_type, system_file_type属于类型属性,tr069_service_exec属于exec_type, file_type, system_file_type这些类型。

当编写指定属性名称的规则时,该名称将自动扩展到与该属性关联的域或类型列表。因此,当有类似的域或类型需要同一个权限,此时可以把这些类似的类型或域关联到一个类型属性或域属性,指定规则时,使用类型属性或域属性代替具体的各类似类型。如此,可以精简策略配置。

根据以上语法,sepolicy中的xxx_contexts文件定义object的label,xxx.te文件中定义域、域进行与属性关联和类型关联,例如tr069_service.te文件

 

按照selinux编写语法,创建avc规则,规则的格式为:

RULE_VARIANT SOURCE_TYPES TARGET_TYPES : CLASSES PERMISSIONS

意思是:当带有source_types标记的object尝试对class类型的具有target_types标签对象执行permission相关的操作时,应发生什么(RULE_VARIANT)。

二、编译和验证

2.1 编译

在Andriod4.4至Andriod7.0,policy被编译合并为一个文件,放置boot.img或system.img。Andriod8.0及Android8.0+被分别编译,SOC和OEM被编译进vendor.img,如此需要在开机是,快速挂在/system和/vendro,在加载进kernel前合并policy。

AOSP中sepolicy资源文件有:

  1. External/selinux  用于编译主机命令行工具
  2. System/sepolicy Android核心selinux policy配置

 

selinux 初始化

在开机的初始阶段,SELinux 为permissive模式,init进程做一下工作:

  1. 通过/sys/fs/selinux/load加载系统中的sepolicy到kernel
  2. 切换selinux到enforcing模式
  3. 执行re-exec(),使selinux规则对自身起作用

2.2 验证

验证策略

若新增域,则初始设置为Permissive(Permissive模式,仅显示需要的权限,但不实际拒绝),分析dmesg和logcat中avc,完善和修正权限。由于在Permissive模式,会展开所有权限的需求,如此会导致一些实际不需要的权限也在log中体现,基于此,完成可理解的必要的权限配置后,尽早设置为Enforcing,调试依然存在的deny项。

初始设置为Permissive模式,有几种方式:

  • 整个设备运行在Permissive模式

配置selinux模式:修改kernel_cmdline 参数为BOARD_KERNEL_CMDLINE := androidboot.selinux=permissive。该参数在BoardConfig.mk中添加。

  • 个别域设置为Permissive模式

在域的te文件开始处添加:permissive 域名,如下图所示

 

  • 设备运行状态,在命令行执行 setenforce 0

这种方式,设备重启后会恢复为Enforcing,如此,方便确认某个问题是权限导致。

在设备端使用getenforce获取当前selinux运行模式。

完善和修正权限

在设备运行过程中,若确实权限,分别可以在kernel log和logcat log中体现相应信息。根据获取到的denies信息,使用audit2allow命令生成指导性权限配置策略。生成指导性权限配置策略可以基于系统已配置权限,根据系统策略初始化方式:开机后,系统会合并AOSP和vendor sepolicy为一个policy文件,给kernel selinux初始化。因此可在设备中查找policy位置(通常会在),使用adb pull到本地,方便命令使用。命令如下

find -type f -name "policy" | grep "selinux"

运行时使用/sys/fs/selinux/policy文件,使用dmesg和logcat,获取denies的权限

 

dmesg | grep "avc:"

logcat -b all | grep "avc:"

把log保存在文件denies.txt中,在Android根目录执行

cat denies.txt | audit2allow -p policy

在盒端运行状态下,查看进程权限:ps -Z 查看权限,例如

ps -e -Z | grep audioserver

 

使用audit2allow 命令产生的权限仅作为指导性权限,作为分配权限的起点,从起点出发拆分和细化权限实现。例如,在system app通过manager获取某个binder服务时,若未配置权限,audit2allow生成的policy是配置获取对default_android_hwservice的相关权限,这明显是被系统默认不允许的,此种情况分析log中出现该权限需求的上下文,确定具体需要的服务名称,如tr069_service,此时可以把default_android_hwservice替换为具体的服务即可。其他出现对default_xxx的权限申请,都可以使用如此方式配置,也不排除有一些default_xxx的确是可以分配权限的。

三、实现SELinux

3.1 新增sepolicy

编写自己的sepolicy通常在/device/manufacturer/device-name/sepolicy目录下。8.0 and 8.0+,分为selinux policy分为system和vendor,一版情况下不能相互访问,关于system和vendor的兼容性policy开发,详见“定制化”和“Policy兼容性”。编写完policy,更新到系统,通过在/device/manufacturer/device-name/BoardConfig.mk中使用BOARD_SEPOLICY_DIRS、BOARD_VENDOR_SEPOLICY_DIRS或BOARD_SEPOLICY_UNION。BOARD_SEPOLICY_UNION赋值为te文件。添加方式,如:

BOARD_SEPOLICY_UNION += \

        genfs_contexts \

        file_contexts \

        sepolicy.te



BOARD_SEPOLICY_DIRS += \

        <root>/device/manufacturer/device-name/sepolicy

BOARD_SEPOLICY_DIRS和BOARD_VENDOR_SEPOLICY_DIRS的区别

 

注意:使新增的sepolicy编译到系统,可以在任意路径添加sepolicy,同样使用BOARD_SEPOLICY_DIRS或BOARD_VENDOR_SEPOLICY_DIRS或BOARD_SEPOLICY_UNION在可声明PRODUCT_PACKAGES的mk文件中添加新增sepolicy申明,例如

 

3.2 客制化

在/device/manufacturer/device-name/sepolicy下实现:

1)初始时,新的域中设置为宽容模式(如permissive dhcp;),在userdebug模式调试权限完后,关闭该模式

2)如xxx_domain(dhcp),dhcp可以使用xxx的功能

3)不同类型对象拥有的权限,参考Available controls: https://source.android.com/security/selinux/customize

8.0及8.0+客制化

在8.0之前使用BOARD_SEPOLICY_DIRS添加策略,编译后,策略被结合添加在AOSP策略中,一起打包入platform image;现在使用BOARD_SEPOLICY_DIRS添加的策略放置在vendor image中。使AOSP和vendor分离,系统实现treble化(简单理解:降低系统耦合,提高系统的可扩展性,和模块独立性)。

不同的场景,policy实现的方案不同,在这些场景中,服务分为一下几种:

  • 仅仅在vendor中运

使用vndservicemanager注册服务;在device/manufacturer/device-name/sepolicy中添加策略

  • 和AOSP交互的服务

使用hwservicemanager注册服务,实现了AOSP中定义的hal;在device/manufacturer/device-name/sepolicy中添加策略,system/sepolicy/public/也被编译到vendor image

  • 仅可以被AOSP调用的服务

作为AOSP的外延,在system/sepolicy/private中添加策略,不可以和vendor image交互。可以被framework-only OTA升级;只可使用system/sepolicy/public中定义的策略

  • 作为vendor的延伸服务于AOSP扩展的组件

存在于AOSP system image的client,扩展实现了非AOSP hal,如system_server延伸。必须在device/manufacturer/device-name/sepolicy中添加策略,system/sepolicy/public/也被编译到vendor image,system、vendor间交互使用的策略。和AOSP交互的服务的区别是:不需要修改AOSP组件;仅和system image延伸交互的AOSP组件,新增的policy必选添加在system/sepolicy/private

  • System image的延伸仅访问AOSP interface

非AOSP system进程使用一个AOSP依赖的HAL。在system/sepolicy/private中添加策略,只可使用system/sepolicy/public中定义的策略;可能使用system/vendor的接口,也可以在device/manufacturer/device-name/sepolicy添加策略,但是升级后导致system/sepolicy/private中新的策略不可用

  • Vendor image的延伸,服务于一个新的system组件

添加一个新的非AOSP hal,服务于一个AOSP中没有的新的client进程。System、vendor之间交互的policy必须在device/manufacturer/device-name/sepolicy中实现,可以对system/sepolicy/public扩展,不可以删除已存在policy,扩展部分可以被system/sepolicy/private 和device/manufacturer/device-name/sepolicy使用;仅新的type和相应的allow规则被添加到system/sepolicy/public,另外新的type,不可以被/vendor下的policy直接使用。

按照以上定义的场景,可以根据实际情况,确定新增服务的位置,合理实现sepolicy。

3.3 Policy兼容性

为了避免由于OTA升级,导致label冲突,在编写selinux policy,使用命名空间。对于type/attribute,vendor使用的声明以np_开头,如type foo, domain; → type np_foo, domain;

对于property,使用如下策略

 

Vendor可以继续使用ro.boot.*(来自于kernel cmdline)和ro.hardware.*(明显和硬件相关的属性)。对于service,所有的vendor services的init rc,命名为vendor.xxx.rc;类似的vendor property的label,使用vendor_xxx。更细节的兼容性设计,详见https://source.android.google.cn/security/selinux/compatibility?hl=en

附录

Selinux官方文档:https://source.android.com/security/selinux

 

 

 

binn_chern
关注
专栏目录
SelinuxSepolicy
ambitions666的博客
08-01 354
标签 selinux通过标签来匹配规则和相应的许可操作。 标签采用以下形式: ​ user:role:type:mls_level 规则和域 selinux的规则采用一下形式: allow domains types:classes actions domains :域,可以理解成一个容器,存放不同主体subject。不同主体可以同属一个域 types:被访问对象(客体)的标签 classes:客体的不同类型 actions:需要执行的操作 启动第三方可执行程序 start exttv-0-1
androidsepolicy, selinux学习笔记
shellshell13的专栏
02-19 9091
android sepolicy selinux规范学习,相关问题debug
Sepolicy学习(一)
qq_42282862的博客
05-07 6356
sepolicy 规则介绍 sepolicy的规则针对的是linux系统中的进程和文件。进程是主动的,而文件是被动的。所以有对应的进程的规则和文件规则,分别定义进程的合法行为和文件被访问的权限。 SELIUNX中,每个对象(进程和文件)被赋予安全的属性。SContext是一个字符串,对于进程的SContext,SContext的格式是"u:r:type[:range]", 进程可以ps -Z获得。 ...
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1491
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则
麒麟系统安全管理工具kysec机制详解
最新发布
baimao__Ch的博客
08-05 1282
1、麒麟安全管理工具 #图形化安全配置工具服务器默认没有开启,打开后提示如下图 #只能通过命令开启kysec模块2、开启kysec模块 #服务器默认没有开启,切换kysec级别重启生效开启命令:security-switch --set default #kysec默认级别default安全级别:default、strict、custom,详细参数如下图开启kysec模块后,就可以打开图形化安全管理工具3、设置安全控制项 #先开启kysec模块。
SELinux sePolicy
大雄不爱吃肉
08-14 4000
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy policy
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)
ZP1015
07-01 2256
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinuxSecurity-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
SELinux app权限配置
热门推荐
zhudaozhuan的专栏
03-23 2万+
SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app  第三方app,没有android平台签名,没有system权限 2)platform_app    有android平台签名,没有system权限 3)system_app      有android平台签名和system权限 从上面划分,权
device_xiaomi_raphael-sepolicy
03-29
在"device_xiaomi_raphael-sepolicy"的Makefile中,我们可以找到针对Raphael设备的SE策略配置,如策略文件的路径、编译选项和目标设置等。Makefile的编写直接影响到SE策略的正确性和效率,确保了策略能够无缝集成到...
android sepolicyselinux)快速配置方法
10-29
### Android sepolicySELinux)快速配置方法 #### 概述 在Android系统中,Security Enhanced Linux (SELinux) 是一种强大的安全机制,用于管理应用程序的权限和资源访问。当应用试图执行某些被SELinux策略禁止的...
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
selinux-policy:Fedora的selinux-policy是主线的一个重要补丁
04-10
selinux-policy-contrib存储库与selinux-policy合并 2020年11月25日,selinux-policy-contrib存储库与selinux-policy合并。 以前,Fedora中的SELinux策略包使用2个存储库:base [1]和contrib [2]。 将该仓库分为两个部分只是一个历史产物,现在只是造成混乱的原因,这使得处理SELinux策略仓库变得更加困难。 从现在开始,这些存储库合并为一个,包含来自两个存储库的源。 所有更改都会影响回购, rawhide分支以及将来的分支f34和更高版本。 在Rawhide分支中工作时,现在仅使用基本仓库。 相应的contrib分支已归档,将不再使用。 contrib存储库的提交历史记录是基本存储库的一部分。 稳定分支( f33 , f32 ,所有较旧的分支)保持不变。 这主要是git存储库的存储位
Configuring the SELinux Policy
12-05
介绍SELinux的文档。This technical report describes how to configure the SELinux security policy for the example security server.
selinux权限配置指南.pdf
01-21
本文档《selinux权限配置指南.pdf》将重点讲解SELinux的基本概念、运行模式、语法格式以及权限配置的各个方面,特别是结合Android平台的SELinuxsepolicy)进行讲解,旨在帮助开发者更好地理解和配置SELinux,以...
浅析linux之SElinux的targeted规则(Policy
完颜振江
02-11 3236
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
SELinux policy相关问题的总结
jinron10的专栏
01-21 2597
在开发Android系统的时候或多或少遇到一些Selinux的相关的问题,在这里进行一些总结和整理,内容大部分来源网络. 1、了解SELinux基本概念,这个网上资料很多,具体参考: http://jingpin.jikexueyuan.com/article/55398.html http://blog.csdn.net/innost/article/details/19299937/  h...
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1354
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinuxSecurity-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android Selinux 权限配置
freedom9977的博客
12-31 3974
1.SElinux三种权限: enforcing:强制模式、代表SELinux运行中,且已经正确的开放限制 domain/type。 permissive:宽容模式、代表SELinux运行中,不过金会有警告信息并不会直接限制 domian/type。 disabled:关闭模式、SELinux 关闭状态 2.基础权限的配置 比如内核报这样的错: [ 172.554381] type=1400 audit(22611.739:4): avc: denied { getattr } for ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值