Android 应用（1）——安全策略sepolicy

SEAndroid app分类

参考链接：
http://www.voidcn.com/article/p-stzeacwv-xe.html

SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同，也有其他的domain类型)：

1)untrusted_app 第三方app，没有Android平台签名，没有system权限
2)platform_app 有android平台签名，没有system权限
3)system_app 有android平台签名和system权限

从上面划分，权限等级，理论上：untrusted_app < platform_app < system_app

查看当前运行的应用信息：

rk3399_all:/ # ps -Z
u:r:untrusted_app:s0:c512,c768   u0_a64    3208  357   1775224  120616  SyS_epoll_  76b9259b80  S  com.forlinx.changelogo

domain：untrusted_app
user：u0_a64

APP的domain和type

查看seapp_contexts文件，APP的domain和type由user和seinfo两个参数决定

system/sepolicy/seapp_contexts

isSystemServer=true domain=system_server
user=system seinfo=platform domain=system_app type=system_app_data_file
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
user=nfc seinfo=platform domain=nfc type=nfc_data_file
user=radio seinfo=platform domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell seinfo=platform domain=shell type=shell_data_file
user=_isolated domain=isolated_app levelFrom=user
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
user=_app isAutoPlayApp=true domain=autoplay_app type=autoplay_data_file levelFrom=all
user=_app isPrivApp=true domain=priv_app type=app_data_file levelFrom=user
user=_app domain=untrusted_app type=app_data_file levelFrom=user

user

参考链接：
https://blog.csdn.net/huilin9960/article/details/81530568

user可以理解为UID。android的UID和linux的UID根本是两回事，Linux的UID是用于针对多用户操作系统中用于区分用户的，而Android中的UID是用于系统进行权限管理的。
参考链接中的文章对于uid的产生讲的很清楚。

seinfo

不同签名会创建对应的selinux上下文。

Android.mk

LOCAL_CERTIFICATE := platform
有platform签名，所以seinfo是platform。

LOCAL_CERTIFICATE作用

参考文档
https://blog.csdn.net/hnlgzb/article/details/107823874

可以查看Android源码build/target/product/security/ 目录下提供的默认签名文件，不同平台可能会有差异：
T507提供了media、networkstack、platform、shared、testkey、verity六种不同权限的签名文件。

OK3399提供了media、platform、shared、testkey、verity五种不同权限的签名文件。

sepolicy配置文件

参考链接：
https://blog.csdn.net/ch853199769/article/details/82498725

device/rockchip/common/sepolicy/*.te
device/rockchip/common/sepolicy/*_contexts
system/sepolicy/*.te
system/sepolicy/*_contexts

标签、规则和域

规则采用以下形式：allow domains types:classes permissions;，其中：
Domain - 一个进程或一组进程的标签。也称为域类型，因为它只是指进程的类型。
Type - 一个对象（例如，文件、套接字）或一组对象的标签。
Class - 要访问的对象（例如，文件、套接字）的类型。
Permission - 要执行的操作（例如，读取、写入）。

device/rockchip/common/sepolicy/platform_app.te

# Additional rules for platform_app
allow platform_app surfaceflinger_tmpfs:file { read write };
# Write to /cache.
allow platform_app vfat:dir create_dir_perms;
allow platform_app vfat:file create_file_perms;
allow platform_app init:unix_stream_socket { connectto };
allow platform_app surfaceflinger:fifo_file rw_file_perms;
#allow platform_app property_socket:sock_file { write };
allow platform_app unlabeled:filesystem { getattr };
allow platform_app unlabeled:dir rw_dir_perms;
allow platform_app unlabeled:file rw_file_perms;
allow platform_app devicemanager_service:service_manager { find };
allow platform_app gpu_device:dir { search };
#allow platform_app property_socket:sock_file { write }
allow platform_app vfat:dir create_dir_perms;
allow platform_app vfat:file create_file_perms;
allow platform_app property_socket:sock_file write;
allow platform_app system_app_data_file:file write;
set_prop(platform_app,system_prop)
set_prop(platform_app,media_prop)
set_prop(platform_app,drm_prop)
get_prop(platform_app,ctsgts_prop)

Type Class

参考链接：
https://www.jianshu.com/p/a3572eee341c

system/sepolicy/seapp_contexts
system/sepolicy/genfs_contexts
system/sepolicy/file_contexts

avc问题（scontext tcontext）

参考链接：
https://blog.csdn.net/rikeyone/article/details/84337115

$ dmesg > /storage/0000-006F/dmesg.txt
$ cat dmesg.txt | grep avc | audit2allow

sudo apt install policycoreutils

$ cat dmesg.txt | grep avc | audit2allow
#============= fsck ==============
allow fsck zram_device:blk_file getattr;

#============= init ==============
allow init boot_block_device:lnk_file relabelto;
allow init cifsmanager_exec:dir { create setattr };
allow init recovery_block_device:lnk_file relabelto;

#============= mediaserver ==============
allow mediaserver system_server:dir search;
allow mediaserver system_server:file { open read };

#============= shell ==============
allow shell pppoe_prop:file { getattr open };
allow shell secureboot_prop:file { getattr open };

#============= system_server ==============
allow system_server media_rw_data_file:dir { getattr open read };

#============= vold ==============
allow vold ctl_bootanim_prop:property_service set;

安全策略权限的问题可能会逐步暴露出来，所以，后面可以把avc信息直接截取保存下来，使用audit2allow工具进行分析

[  103.856532] type=1400 audit(1546305219.793:10): avc: denied { write } for pid=1544 comm="ternalstoragerw" name="/" dev="sda1" ino=1 scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:vfat:s0 tclass=dir permissive=1
[  103.856775] type=1400 audit(1546305219.793:11): avc: denied { add_name } for pid=1544 comm="ternalstoragerw" name="eeeeee" scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:vfat:s0 tclass=dir permissive=1
[  103.856857] type=1400 audit(1546305219.793:12): avc: denied { create } for pid=1544 comm="ternalstoragerw" name="eeeeee" scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:vfat:s0:c512,c768 tclass=dir permissive=1

T507

u:r:priv_app:s0:c512,c768      u0_a2         5927  2322 1042108 105452 SyS_epoll_wait      0 S com.example.cam


#============= hal_camera_default ==============
allow hal_camera_default default_prop:file read;
allow hal_camera_default system_prop:file read;