php socket selinux,【SEAndroid】适配 netlink_xxx_socket 的 SELinux 权限

最新推荐文章于 2023-11-14 18:29:49 发布
最新推荐文章于 2023-11-14 18:29:49 发布
阅读量356 收藏 1
点赞数
文章标签: php socket selinux

版权声明:本文为 gfson 原创文章,转载请注明出处。

注:作者水平有限,文中如有不恰当之处,请予以指正,万分感谢。

一. 概述

1.1 Linux 的 netlink 机制

Linux 的 netlink 机制是一种在内核与用户应用间进行双向数据传输的非常好的方式,用户态应用使用标准的 socket API 就可以使用 netlink 提供的强大功能,内核态需要使用专门的内核 API 来使用 netlink。

1.2 实现背景

用户空间有一个应用 scpd 通过自定义协议 NETLINK_SCPD 创建 netlink socket,相关代码如下:

...

#define NETLINK_SCPD 28 /* scpd communition*/

...

nlfd = socket(AF_NETLINK, SOCK_RAW, NETLINK_SCPD);

...

内核中使用对应的协议号 28 创建 netlink socket,相关代码如下:

...

#define NETLINK_SCPD 28

...

nl_sk = netlink_kernel_create(&init_net, NETLINK_SCPD, &cfg);

...

使用了相同协议号的用户程序 scpd 和内核就可以开始通信了,这个时候只需要配置如下 SELinux 权限即可:

type scpd, domain;

type scpd_exec, exec_type, file_type;

init_daemon_domain(scpd)

allow scpd self:capability { dac_override };

allow scpd serial_device:chr_file open;

allow scpd serial_device:chr_file read;

allow scpd serial_device:chr_file write;

allow scpd serial_device:chr_file ioctl;

allow scpd device:dir write;

allow scpd device:dir add_name;

allow scpd device:sock_file create;

allow scpd device:sock_file setattr;

可以看到,上述的 SELinux 权限并没有对特定的协议号有限制,换而言之,任何一个程序只要能够访问 socket,有上述的 SELinux 权限,即可通过协议号 28 来访问内核中特定的内容。

了解上述的背景后,我们的目的是通过 SELinux 限制程序对协议号 28 的访问,既:

只允许配置了特定 SELinux 权限的程序可以通过协议号 28 访问内核,其他程序就算可以访问 socket,如果该程序没有针对协议号 28 配置 SELinux 权限,那么这个程序就不能使用这个协议号 28 访问内核。

二. SELinux 对 netlink 的扩展

为了解决上述问题,我们先来研究一下 kernel 中 netlink 的实现,看看其中有没有 socket 对 netlink socket 的 SElinux 扩展。内核中通过 netlink_kernel_create 来创建 netlink socket,我们从这个函数开始分析。

netlink_kernel_create [ kernel\include\linux\Netlink.h ]

static inline struct sock *

netlink_kernel_create(struct net *net, int unit, struct netlink_kernel_cfg *cfg)

{

return __netlink_kernel_create(net, unit, THIS_MODULE, cfg);

}

__netlink_kernel_create [ kernel\net\netlink\Af_netlink.c ]

struct sock *

__netlink_kernel_create(struct net *net, int unit, struct module *module,

struct netlink_kernel_cfg *cfg)

{

struct socket *sock;

...

if (sock_create_lite(PF_NETLINK, SOCK_DGRAM, unit, &sock))

return NULL;

...

}

sock_create_lite [ kernel\net\Socket.c ]

int sock_create_lite(int family, int type, int protocol, struct socket **res)

{

int err;

struct socket *sock = NULL;

err = security_socket_create(family, type, protocol, 1);

...

}

security_socket_create [ kernel\security\Security.c ]

int security_socket_create(int family, int type, int protocol, int kern)

{

return security_ops->socket_create(family, type, protocol, kern);

}

security_ops 的初始化

selinux_init [ kernel\security\selinux\Hooks.c ]

static __init int selinux_init(void)

{

...

if (register_security(&selinux_ops))

panic("SELinux: Unable to register with kernel.\n");

...

}

- **register_security** [ kernel\security\Security.c ]

int __init register_security(struct security_operations *ops)

{

...

security_ops = ops;

...

}

- **selinux_ops** [ kernel\security\selinux\Hooks.c ]

static struct security_operations selinux_ops = {

...

.socket_create = selinux_socket_create,

...

}

- 所以,`security_ops = selinux_ops`,`security_ops->socket_create = selinux_ops->socket_create = selinux_socket_create`。

- **selinux_socket_create** [ kernel\security\selinux\Hooks.c ]

static int selinux_socket_create(int family, int type,

int protocol, int kern)

{

const struct task_security_struct *tsec = current_security();

u32 newsid;

u16 secclass;

int rc;

if (kern)

return 0;

secclass = socket_type_to_security_class(family, type, protocol);

rc = socket_sockcreate_sid(tsec, secclass, &newsid);

if (rc)

return rc;

return avc_has_perm(tsec->sid, newsid, secclass, SOCKET__CREATE, NULL);

}

- **socket_type_to_security_class** [ kernel\security\selinux\Hooks.c ]

static inline u16 socket_type_to_security_class(int family, int type, int protocol)

{

switch (family) {

...

case PF_NETLINK:

switch (protocol) {

case NETLINK_ROUTE:

return SECCLASS_NETLINK_ROUTE_SOCKET;

case NETLINK_FIREWALL:

return SECCLASS_NETLINK_FIREWALL_SOCKET;

case NETLINK_SOCK_DIAG:

return SECCLASS_NETLINK_TCPDIAG_SOCKET;

case NETLINK_NFLOG:

return SECCLASS_NETLINK_NFLOG_SOCKET;

case NETLINK_XFRM:

return SECCLASS_NETLINK_XFRM_SOCKET;

case NETLINK_SELINUX:

return SECCLASS_NETLINK_SELINUX_SOCKET;

case NETLINK_AUDIT:

return SECCLASS_NETLINK_AUDIT_SOCKET;

case NETLINK_IP6_FW:

return SECCLASS_NETLINK_IP6FW_SOCKET;

case NETLINK_DNRTMSG:

return SECCLASS_NETLINK_DNRT_SOCKET;

case NETLINK_KOBJECT_UEVENT:

return SECCLASS_NETLINK_KOBJECT_UEVENT_SOCKET;

default:

return SECCLASS_NETLINK_SOCKET;

}

...

}

return SECCLASS_SOCKET;

}

- 从以上代码中,我们可以看出,**在源码中对 netlink socket 根据协议号是有相对应的 security class 的**。

- Linux 中已经实现了对 netlink socket 的源码扩展和 security class 类的扩展。每一个协议号 NETLINK_XXX 对应于一个 SECCLASS_NETLINK_XXX_SOCKET,如果没有为某一个协议号定义对应的 security class,则默认使用 SECCLASS_NETLINK_SOCKET。

- 所以,**正是由于其默认使用的是 SECCLASS_NETLINK_SOCKET,如果一个协议号没有定义对应的 security class,则其他可以访问 SECCLASS_NETLINK_SOCKET 的应用程序便都可以访问这个协议号**。为了安全考虑,保证特定的程序才可以访问这个协议号,需要对源码进行修改。

- 接下来,我们需要做的事情分为两步:

- 自定义协议号 28 的 security class。

- 为 scpd 程序配置访问协议号 28 的 SELinux 权限。

# 三. 适配协议号 28 的 SELinux 权限

我们定义协议号 28 的名称为 NETLINK_SCPD。

## 3.1 在 SELinux 的配置文件中定义协议号的 security class。

- 在文件 **security_classes** [ external/sepolicy ] 中定义类名:

class netlink_scpd_socket

- 在文件 **access_vectors** [ external/sepolicy ] 中定义操作类别:

class netlink_scpd_socket

inherits socket

{

nlmsg_read

nlmsg_write

}

## 3.2 在 kernel 中实现对 NETLINK_SCPD 的扩展

- 在文件 **netlink.h** [ kernel/include/uapi/linux ] 中定义协议号:

define NETLINK_SCPD 28 /* scpd communition*/

- 在文件 **Hooks.c** [ kernel\security\selinux\Hooks.c ] 中对协议号自定义 security class。

static inline u16 socket_type_to_security_class(int family, int type, int protocol)

{

switch (family) {

...

case PF_NETLINK:

switch (protocol) {

...

case NETLINK_KOBJECT_UEVENT:

return SECCLASS_NETLINK_KOBJECT_UEVENT_SOCKET;

case NETLINK_SCPD:

return SECCLASS_NETLINK_SCPD_SOCKET;

default:

return SECCLASS_NETLINK_SOCKET;

}

...

}

return SECCLASS_SOCKET;

}

- 在文件 **classmap.h** [ kernel\security\selinux\include ] 中根据 `netlink_scpd_socket` 生成 `SECCLASS_NETLINK_SCPD_SOCKET`。

struct security_class_mapping secclass_map[] = {

...

{ "netlink_ip6fw_socket",

{ COMMON_SOCK_PERMS,

"nlmsg_read", "nlmsg_write", NULL } },

{ "netlink_scpd_socket",

{ COMMON_SOCK_PERMS,

"nlmsg_read", "nlmsg_write", NULL } },

...

}

## 3.3 配置访问 netlink_scpd_socket 的 SELinux 权限

- 在文件 **scpd.te** [ device/qcom/sepolicy/common ] 中配置 scpd 对 netlink_scpd_socket 的权限。

type scpd, domain;

type scpd_exec, exec_type, file_type;

init_daemon_domain(scpd)

allow scpd self:capability { dac_override };

allow scpd serial_device:chr_file open;

allow scpd serial_device:chr_file read;

allow scpd serial_device:chr_file write;

allow scpd serial_device:chr_file ioctl;

allow scpd device:dir write;

allow scpd device:dir add_name;

allow scpd device:sock_file create;

allow scpd device:sock_file setattr;

allow scpd device:dir remove_name;

allow scpd device:sock_file unlink;

allow scpd self:netlink_scpd_socket { create write bind read };

# 四. 注意事项

## 4.1 SECCLASS_NETLINK_SCPD_SOCKET 的生成原理

文件 **classmap.h** 中定义了 `netlink_scpd_socket` 以后,文件 **genheaders.c** [ kernel/scripts/selinux/genheaders ] 中会根据 **classmap.h** 中的内容动态生成文件 **flask.h** [ out\target\product\msm8909\obj\KERNEL_OBJ\security\selinux ],其中内容如下:

...

define SECCLASS_NETLINK_SCPD_SOCKET 38

...

并且,Hooks.c 中 `#include "avc.h"`,而 avc.h 中 `#include "flask.h"`,所以 Hooks.c 中可以正常引用 `SECCLASS_NETLINK_SCPD_SOCKET`。

## 4.2 定义 security class 类名要相同

在 security_classes、access_vectors、Hooks.c、classmap.h 中定义的类名要相同。

- security_classes、access_vectors和 classmap.h 中的类名一定要相同。

- classmap.h 中的类名 xxx 部分和 Hooks.c 中的 SECCLASS_XXX 部分相同。

## 4.3 eng 或 userdebug 版本测试时出现的问题

在 **eng** 或 **userdebug** 版本测试的时候,发现:

- **正常现象**:如果没有为 scpd 配置 netlink_scpd_socket 相关权限,通过 `start scpd` 启动这个程序时,可以出现 avc denied 的限制,netlink_scpd_socket 无法正常访问。只有当配置了相应权限以后,`start scpd` 才可以正常访问 netlink_scpd_socket。

- **奇怪现象**:不通过 `start scpd` 启动程序,而且直接在 shell 中运行 scpd,发现即使没有给 scpd 配置相应的 SELinux 权限,也可以正常的访问 netlink_scpd_socket。

> 分析:

- 通过 `start scpd` 启动时,其实是通过 init 进程启动,和开机 init 进程启动 scpd 是一样的,由于配置了 `init_daemon_domain(scpd)`,所以进程域会由 init 转换成 scpd,所以进程 scpd 的 scontext 为 `u:r:scpd:s0`。这个时候,配置的 SELinux 规则对这个进程起作用,会执行 mac 检查。

- 通过在 shell 中直接运行,我们可以发现,进程 scpd 的 scontext 为 `u:r:su:s0`,为了解释这个问题,我们看一下文件 **su.te** [ extern/sepolicy ] 的内容:

type su_exec, exec_type, file_type;

userdebug_or_eng(`

type su, domain;

domain_auto_trans(shell, su_exec, su)

...

permissive su;

...

')

上述的配置文件包含几个意思:

- **上述 `domain_auto_trans(shell, su_exec, su)` 的意思是在 userdebug 版本或者 eng 版本,在 shell 中执行 su 时,会自动转化成 su 域**。我们可以回想一下,在 eng 版本中,默认就有 root 权限,这个是因为 adb shell 中已经自动执行了 su。而 userdebug 版本需要执行 `adb root` 或者在 shell 中执行 su,就会有 root 权限。而执行完 su 后,就从 shell 域切换到了 su 域了。

- **上述 `permissive su` 的意思,是不对 su 域的行为进行任何的 mac 检查,即不受 SELinux 的规则约束**。换而言之,su 域既有 root 权限,而且不受 SELinux 的规则约束,那么 su 可以做任何事情。所以,上述内容只在 userdebug 和 eng 编译进去,user 版本的 su 权限还是受到了很大限制的。

- 所以,这就是为什么 shell 中直接运行 scpd 没有权限,而必须切换到 su 后,才可以运行 scpd,同理,由于在 su 下运行的程序都是 su 域,故这种情况下,scpd 可以不受 SELinux 的规则约束。

- 这种情况对 user 版本没有影响,因为 user 版本没有 su,就算通过非法手段放进去了 su,但是执行 su 的时候,会受到 SELinux 很大的约束,最大程度的限制了 user 版本下 su 的权限。

beginedc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2355
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
安全增强 Linux (SELinux) 剖析(socket套接字创建源码分析)
yangguo_2011的专栏
12-05 3244
架构和实现 Linux® 一直被认为是最安全的操作系统之一,但是通过引入安全增强 Linux(Security-Enhanced Linux,SELinux),National Security Agency (NSA) 将 Linux 的安全性提升到了新的高度。SELinux 通过对内核和用户空间进行修改,对现有的 GNU/Linux 操作系统进行了扩展,从而使其变得坚不可摧。
Linux Kernel -- SElinuxsocket
500
07-24 555
这篇文章我只是想弄明白socket()为什么在X86上需要root才能调用而非Arm上的 !root
af_netlink_在内核模块中侦听Netlink广播
weixin_39818662的博客
12-20 105
The SELinux module sends out a netlink broadcast to any listening sockets. I'm wondering if it's possible to listen for netlink broadcast from within another kernel module?From SELinux netlink code:ne...
Android11编译第六弹:user版本增加su+内置root用户
最新发布
joedan0104的专栏
11-14 3072
问题1:user版本默认不开放root,adb登录后默认采用system用户,收紧用户权限;问题2:因为有些功能需要用到root用户,例如设置网卡地址,网卡开启和关闭等,因为线上设备user版本没有root用户开放,很不方便。采用允许登录root用户的方式,登录时增加密码验证。
Selinux权限置详解
秦逸轩的博客
07-15 1615
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 8088
一、SELinux文件访问安全策略和app权限置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
selinux权限调试
python_bigniu的博客
09-05 1055
在Android 中启动一个新的进程的时候,需要添加相关权限,否则进程无法启动。 以最近添加的BT/WIFI功能进程为例,解决步骤如下: 一、首先设置为permissive模式再启动进程 1.adb shell setenforce 0 设置为宽容模式 logcat -c 清零logcat 里的log 2.使用QCOM启动相关进程后,再使用QRCT进行进程的通信测试 二、抓取log搜索相关关键字 1.logcat | grep ftmdaemon (也可以使用dmesg | grep ftmdaemo
增加多流
zjy764219923的专栏
12-21 611
一、简介 本文主要介绍如何android6.0添加localsocket通信、添加自定义uid的权限问题,以及增加虚拟网卡。 二、详细介绍 添加selinux权限: 1.src/LINUX/android/device/qcom/sepolicy/Android.mk --- a/src/LINUX/android/device/qcom/sepolicy/Andro...
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 3184
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
SELinux策略语言--客体类别和许可
MyArrow的专栏
08-19 1万+
1. 简介     SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 客体类别和许可
selinux源码分析
bruk_spp的博客
07-11 4643
首先来一幅lsm的逻辑图: 上幅图来至:Linux Security Module Framework一文,很清晰的描述了LSM的逻辑,从用户空间到系统调用再到selinux模块接口。 selinux驱动模块位置: \linux-4.5-rc1\security 1.selinux核心驱动的加载 1)selinux文件节点的创建: 在selinuxfs.c文件中,__initcall(init_sel_fs)驱动模块的加载,会注册文件节点。这些节点作为内核与用户空间通信的接口。其核心API调用
socket/io(1)、Linux的socket编程详解
热门推荐
黄规速博客:学如逆水行舟,不进则退
04-10 33万+
Linux的SOCKET编程详解 1. 网络中进程之间如何通信 进 程通信的概念最初来源于单机系统。由于每个进程都在自己的地址范围内运行,为保证两个相互通信的进 程之间既互不干扰又协调一致工作,操作系统为进程通信提供了相应设施,如 UNIX BSD有:管道(pipe)、命名管道(named pipe)软中断信号(signal) UNIX system V有:消息(mes......
SeLinux语法规则
kc58236582的博客
07-02 3330
 1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。
对Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
android 编译报错,android avc 编译报错neverallow问题查找
weixin_39675178的博客
05-27 1068
android avc 编译报错neverallow问题查找2020年08月11日|萬仟网移动技术 |我要评论在修改avc后,有时候编译会报错neverallow。这个具体是在什么地方定义的呢目录:system/sepolicy/private/domain.te# Limit ability to ptrace or read sensitiv...
Android编译选项eng、user、userdebug的区别
weixin_30825199的博客
04-29 659
Android编译选项eng、user、userdebug的区别 分类:技术Android2013-09-02 11:335210人阅读评论(0)收藏举报 eng:debug 版本 user: release 版本 userDebug版本:部分debug版本 要了解Android编译选项eng、user和userdebug的区别,需先了解下LOCA...
如何默认打开user版本 debug 选项, 默认打开adb 连接
shuwu
01-28 5570
[Description] 如何默认打开user 版本的USB debug 选项, 默认打开adb 连接 [Keyword] 量产版本 user usb debug root adb 连接 [Solution] 1. 在android 4.0 之前,这个设置是在frameworks/base/service/..../SystemServer.java 里面 设
【Android 逆向】selinux 进程保护 ( selinux 进程保护 | 宽容模式 Permissive | 强制模式 Enforcing )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-22 4082
一、selinux 进程保护、 二、宽容模式与强制模式、
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值