selinux在 android 上的实现

1.  在init.c main函数里面初始化
int main(int argc, char **argv){
..........
union selinux_callback cb;
cb.func_log = log_callback;
selinux_set_callback(SELINUX_CB_LOG, cb);
cb.func_audit = audit_callback;
selinux_set_callback(SELINUX_CB_AUDIT, cb);
selinux_initialize();
.......
}
selinux_initialize()这个函数里面先判断SELinux 是否启用，启用则载入编译出来的策略文件，并在用户空间用mmap方式与内核共享策略文件，这样内核之后就按照拿到的策略来控制访问，然后设置SELinux启动模式。（./external/libselinux/src）
   SELinux 启动模式有两种enforcing 和permissive。 enforcing 是强制安全检查，不符合安全策略时不允许执行；permissive 模式也进行安全检测，但是遇到不符合安全策略时仅仅打印警告信息，依然运行程序执行。
   可以在编译文件里面kernel cmdline 里面加入启动模式如androidboot.selinux=permissive。 一般eng版本使用的是permissive，user和user-debug版本启动的是enforcing。当然如果对安全性要求不高，完全可以不启用SELinux。在android5.1 之前默认并没有真正意义上的使用。
 2. 策略文件在哪配置
    android模式的策略配置文件放在 external/sepolicy目录下，一般不提倡直接修改这下面的文件，而是针对平台或者项目在device或者vendor目录下添加。比如：
  自己策略文件所在目录：
    BOARD_SEPOLICY_DIRS += \
                    device/xxx/sepolicy

  所添加的策略文件
BOARD_SEPOLICY_UNION := \
        bluetooth.te \
        file.te 
  这样添加的策略就参与编译了。
3. 编译出来的策略文件在哪？
    编译出来的策略文件在out\...\root目录下
   root\file_contexts
   root\sepolicy
   root\property_contexts
   root\seapp_contexts
   root\service_contexts
   所以修改完只需要编译bootimage，但是烧录boot 就可以验证了。
4. 如何配置策略
   需要先了解系统针对客体和主体提供了哪些设置属性和操作。
   external/sepolicy/security_classes 定义了客体的基本类型，比如下面的
 # for userspace object managers
class security
class process
class system
class capability
# file-related classes
class filesystem
class file
class dir
class fd
class lnk_file
class chr_file
class blk_file
class sock_file

     external/sepolicy/access_vectors 文件列出来各种客体类型所拥有的属性，比如下面的file类型和dir 类型，类型间可以有集成关系。
common file
{
ioctl
read
write
create
getattr
setattr
lock
relabelfrom
relabelto
append
unlink
link
rename
execute
swapon
quotaon
mounton
}
class dir
inherits file
{
add_name
remove_name
reparent
search
rmdir
open
audit_access
execmod
}
external/sepolicy/global_macros全局宏变量定义文件，也就是用一个宏变量同时表示几个属性。如下例子
define(`x_file_perms', `{ getattr execute execute_no_trans }')
define(`r_file_perms', `{ getattr open read ioctl lock }')
define(`w_file_perms', `{ open append write }')
define(`rx_file_perms', `{ r_file_perms x_file_perms }')
define(`ra_file_perms', `{ r_file_perms append }')
define(`rw_file_perms', `{ r_file_perms w_file_perms }')
define(`rwx_file_perms', `{ rw_file_perms x_file_perms }')
define(`link_file_perms', `{ getattr link unlink rename }')
define(`create_file_perms', `{ create setattr rw_file_perms link_file_perms }')
external/sepolicy/te_macros 宏规则变量定义文件，也就是用一个变量来表示连续执行几条规则。如下例子
define(`domain_trans', `
# Old domain may exec the file and transition to the new domain.
allow $1 $2:file { getattr open read execute };
allow $1 $3:process transition;
# New domain is entered by executing the file.
allow $3 $2:file { entrypoint open read execute getattr };
# New domain can send SIGCHLD to its caller.
allow $3 $1:process sigchld;
# Enable AT_SECURE, i.e. libc secure mode.
dontaudit $1 $3:process noatsecure;
# XXX dontaudit candidate but requires further study.
allow $1 $3:process { siginh rlimitinh };
')
external/sepolicy/file_contexts  文件安全上下文定义文件。就是说对于一个文件或者目录，它的安全上下文应该在这里定义，如果没有定义，那么默认和父目录的安全上下文一样。
比如说我们在data目录下建了一个log目录存放系统运行时的log，那么我们可能希望这个log目录的的安全上下文是u:object_r:data_log_file:s0
那么就应该在file_contexts文件里做如下定义：/data/log(/.*)?u:object_r:data_log_file:s0

external/sepolicy/property_contexts 属性安全上下文定义文件。比如说新加了一个persist.log. * 开头的属性，那么就需要给它添加对应的安全上下文，如果不添加或者添加的上下文不对，那么在的某个进程里写入时就写不进去。
比如做了如下定义，那么是具有system_prop域安全上下文，只能在system进程里修改值，在shell里是不能访问的。
persist.log.        u:object_r:system_prop:s0
如果希望在shell里能修改值，就应该这么写persist.log.        u:object_r:shell_prop:s0 ，当然如果通过修改相关*.te 文件也能实现，但是不是很规范。

external/sepolicy/property.te 文件允许我们定义自己的prop 类型域，还有seapp_contexts、service_contexts 文件等，都是类似的，都可以根据需要修改。

下面几个是常用到的规则操作
allow：赋予某项权限。
allowaudit：audit含义就是记录某项操作。默认情况下是SELinux只记录那些权限检查失败的操作。allowaudit则使得权限检查成功的操作也被记录。注意，allowaudit只是允许记录，它和赋予权限没关系。赋予权限必须且只能使用allow语句。
dontaudit：对那些权限检查失败的操作不做记录。
neverallow：前面讲过，用来检查安全策略文件中是否有违反该项规则的allow语句
规则命令格式：规则名 主体域 客体域：类型权限属性 ;       或者    规则名 主体域 客体域：类型 {权限属性集合} ;
比如：
allow domain system_data_file:dir { search getattr };
allow domain system_file:file r_file_perms;

规则都定义在以te为后缀的文件里面，比如见到的init.te  installd.te system_app.te platform_app.te shell.te 等等。init.te 是针对init进程定义的规则，system_app.te 针对的是app进程是system的应用定义的规则，shell.te 针对的是shell进程定义的规则，以此类推。如果我们对某种类型的进程定义了新的规则，那么我们应该把新规则添加到它对应的te文件里面。比如我们在data目录下加了一个log目录，并且它的DAC权限为777，安全上下文是u:object_r:data_log_file:s0，我们希望系统运行过程通过shell命令查看log，那么我们就可以往shell.te 文件添加如下策略：
allow shelldata_log_file:dir r_dir_perms;
allow shell data_log_file:file r_file_perms;
如果我们新启了一个进程，并且希望它运行在自己定义的安全上下文里面，那么我们应该给它添加对应的te规则文件。

————————————————
版权声明：本文为CSDN博主「谭小工」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/tww85/article/details/52451606