进程和文件/目录的标签查看
在支持SELinux的系统中,所有的进程都有一个SELinux的标签,查看进程的标签可以用下面的命令:
adb shell ps -Z
下面是Android 8.1.0模拟器上执行这个命令的结果(去掉了kernel、init等开发中很少有需要修改的进程):
LABEL USER PID PPID VSZ RSS WCHAN ADDR S NAME
u:r:logd:s0 logd 1367 1 16840 6808 sigsuspend ed3c3af0 S logd
u:r:servicemanager:s0 system 1368 1 7268 3436 binder_thread_read f4944af0 S servicemanager
u:r:hwservicemanager:s0 system 1369 1 11840 5956 ep_poll f260baf0 S hwservicemanager
u:r:vndservicemanager:s0 system 1370 1 7036 2916 binder_thread_read f70c4af0 S vndservicemanager
u:r:hal_sensors_default:s0 system 1432 1 11012 4444 goldfish_pipe_wait_event f1a1daf0 S android.hardware.sensors@1.0-service
u:r:hal_wifi_default:s0 wifi 1433 1 13408 7140 binder_thread_read eb6b4af0 S android.hardware.wifi@1.0-service
u:r:surfaceflinger:s0 system 1439 1 95676 14016 ep_poll f2bffaf0 S surfaceflinger
u:r:zygote:s0 root 1521 1 938536 111344 poll_schedule_timeout ece25af0 S zygote
u:r:audioserver:s0 audioserver 1522 1 111216 23716 binder_thread_read ecc8daf0 S audioserver
u:r:cameraserver:s0 cameraserver 1523 1 34264 13024 binder_thread_read f37d6af0 S cameraserver
u:r:installd:s0 root 1525 1 15216 5384 binder_thread_read ebcf0af0 S installd
u:r:mediaserver:s0 media 1530 1 59748 16252 binder_thread_read f210daf0 S mediaserver
u:r:system_server:s0 system 1648 1521 1194488 188812 ep_poll ece25af0 S system_server
u:r:untrusted_app:s0:c512,c768 u0_a60 1771 1521 1129228 162444 ep_poll ece25af0 S com.google.android.inputmethod.latin
u:r:platform_app:s0:c512,c768 u0_a29 1786 1521 1160968 151208 ep_poll ece25af0 S com.android.systemui
u:r:radio:s0 radio 1897 1521 1054988 104428 ep_poll ece25af0 S com.android.phone
u:r:priv_app:s0:c512,c768 u0_a13 2222 1521 1176236 157432 ep_poll ece25af0 S com.google.android.gms.persistent
u:r:priv_app:s0:c512,c768 u0_a13 2594 1521 1279688 165100 ep_poll ece25af0 S com.google.android.gms
u:r:su:s0 root 5396 1 67840 2584 0 edb8caf0 R adbd
u:r:untrusted_app:s0:c512,c768 u0_a80 11407 1521 1027772 64308 ep_poll ece25af0 S personal.jayhou.mydemos
u:r:untrusted_app:s0:c512,c768 u0_a80 11433 1521 1015452 49760 ep_poll ece25af0 S personal.jayhou.mydemos:remote
u:r:untrusted_app:s0:c512,c768 u0_a89 27497 1521 1044488 70976 ep_poll ece25af0 S com.chehejia.car.binderobjectdemo
u:r:untrusted_app:s0:c512,c768 u0_a89 27527 1521 1015420 49684 ep_poll ece25af0 S com.chehejia.car.binderobjectdemo:remote
u:r:untrusted_app:s0:c512,c768 u0_a69 31743 1521 1044024 88188 ep_poll ece25af0 S com.google.android.apps.messaging
u:r:untrusted_app:s0:c512,c768 u0_a69 31770 1521 1085220 92980 ep_poll ece25af0 S com.google.android.apps.messaging:rcs
u:r:priv_app:s0:c512,c768 u0_a13 32075 1521 1077256 101724 ep_poll ece25af0 S com.google.android.gms.unstable
u:r:priv_app:s0:c512,c768 u0_a20 32138 1521 1015476 51544 ep_poll ece25af0 S com.google.android.partnersetup
u:r:untrusted_app:s0:c512,c768 u0_a70 32195 1521 1057228 76832 ep_poll ece25af0 S com.google.android.apps.photos
u:r:untrusted_app:s0:c512,c768 u0_a47 32377 1521 1041400 72796 ep_poll ece25af0 S com.google.android.calendar
u:r:priv_app:s0:c512,c768 u0_a3 32394 1521 1014252 57424 ep_poll ece25af0 S com.android.providers.calendar
u:r:untrusted_app:s0:c512,c768 u0_a68 32425 1521 1030692 67892 ep_poll ece25af0 S com.google.android.deskclock
u:r:mediaprovider:s0:c512,c768 u0_a9 32451 1521 1016188 59392 ep_poll ece25af0 S android.process.media
u:r:priv_app:s0:c512,c768 u0_a31 32490 1521 1019140 57968 ep_poll ece25af0 S com.google.android.apps.wallpaper
可以看到,主要的进程有这么几类
native进程如 logd 其SELinux标签为 u:r:logd:s0,servicemanager 其SELinux标签为 u:r:servicemanager:s0 等
hal服务进程 如android.hardware.sensors@1.0-service 进程的SELinux标签为 u:r:hal_sensors_default:s0,android.hardware.wifi@1.0-service 进程的SELinux标签为 u:r:hal_wifi_default:s0 等。
native 服务 如surfaceflinger 其SELinux标签为u:r:surfaceflinger:s0 以及zygote、audioserver、cameraserver、mediaserver等
java服务进程 system_server 其SELinux标签为 u:r:system_server:s0
有platform签名的app 如com.android.systemui 的SELinux标签为 u:r:platform_app:s0:c512,c768
priv-app 如 com.google.android.gms.persistent 的SELinux标签是 u:r:priv_app:s0:c512,c768
普通三方app 我自己写的demo app personal.jayhou.mydemos 的SELinux标签为 u:r:untrusted_app:s0:c512,c768
然后去/data/data目录下看看文件/目录的SELinux标签:
adb shell进入设备,在/data/data/目录下执行 ls -Z
u:object_r:system_app_data_file:s0 android
u:object_r:app_data_file:s0:c512,c768 personal.jayhou.mydemos
基本上就是这么两类,一些特殊的目录有特殊的标签。(其他目录的标签很多,看这个目录下的标签主要是app目录带有c512,c768不同于其他目录的标签段)
标签字段及含义如下:
[user]:[role]:[type]:[sec-level]
user:表示selinux中定义的用户名,android中只有一个用户定义为u
role:表示selinux中定义的角色名,android中进程都定义为r,文件都定义为object_r
domain:文件/进程所属的域,file_contexts定义了文件/目录所属的域,进程所属的域Android中分为了几个文件来定义
seapp_contexts定义了大部分android app 根据各种条件以及签名来确定进程所属的域类型
sec-level:安全等级
注意到三方app目录、进程都有c512,c768的额外标签字段,这个是SELinux的MCS(多类别强制执行模型)参考这个文章的第二部分。
SEAndroid中标签的定义
这些标签都是由SELinux安全上下文文件定义,在如下文件中,定义了相关文件、设备、服务(名)等非进程类的对象标签
file_contexts、property_contexts、service_contexts、hwservice_contexts等
java世界进程的SELinux标签由seapp_contexts文件定义,zygote根据启动java进程的相关信息,结合seapp_contexts中的条件来给java进程打SELinux TAG
frameworks/base/core/jni/com_android_internal_os_Zygote.cpp
if (selinux_android_setcontext(uid, is_system_server, se_info_ptr, nice_name_ptr) == -1) {
fail_fn(CREATE_ERROR("selinux_android_setcontext(%d, %d, \"%s\", \"%s\") failed",
uid, is_system_server, se_info_ptr, nice_name_ptr));
}
android/system/sepolicy/private/seapp_contexts
这个文件定义了android默认的app安全上下文的标签设置策略:
isSystemServer=true domain=system_server
user=system seinfo=platform domain=system_app type=system_app_data_file
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
user=nfc seinfo=platform domain=nfc type=nfc_data_file
user=radio seinfo=platform domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell seinfo=platform domain=shell type=shell_data_file
user=_isolated domain=isolated_app levelFrom=user
user=_app seinfo=media domain=mediaprovider name=android.process.media type=app_data_file levelFrom=user
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
user=_app isV2App=true isEphemeralApp=true domain=ephemeral_app type=app_data_file levelFrom=user
user=_app isPrivApp=true domain=priv_app type=app_data_file levelFrom=user
user=_app minTargetSdkVersion=26 domain=untrusted_app type=app_data_file levelFrom=user
user=_app domain=untrusted_app_25 type=app_data_file levelFrom=user
这些配置都会在Zygote fork出app进程时,调用selinux_android_setcontext的过程中去匹配
如随便写个minTargetSdkVersion>=26的hello world apk安装进去启动,显然其user=_app seinfo!=platform(根据签名判断),根据编译app TargetSdkVersion是否>=26 (没有 minTargetSdkVersion=26 这个配置则表示minTargetSdkVersion=0 )最后会匹配到这一条:
user=_app minTargetSdkVersion=26 domain=untrusted_app type=app_data_file levelFrom=user
那么该进程就被设置安全上下文标签为u:r:untrusted_app:s0:c512,c768(c512,c768这个字段是根据levelFrom=user打的)
具体每个字段意思可以仔细阅读seapp_contexts前面的注释
其中有的配置项包含seinfo=platform这样的,这个表示要匹配到这一条的进程,必须拥有platform签名,具体platform匹配什么签名在如下文件中定义
android/system/sepolicy/private/mac_permissions.xml
还可以自定义其他的seinfo对应不同的签名来配置seapp_contexts。
其他上面提到的native进程如logd、servicemanager,native服务hal service,Android其他native 服务进程如surfaceflinger mediaserver等进程的标签,主要由以下两个方式设置:
init.rc中可以由类似 seclabel u:r:shell:s0 的配置来定义init启动的进程的SELinux 标签
另一种拿surfaceflinger进程为例,其对应的策略文件:
android/system/sepolicy/private/surfaceflinger.te
有如下定义:
init_daemon_domain(surfaceflinger)
根据其宏定义展开
android/system/sepolicy/public/te_macros
#####################################
# init_daemon_domain(domain)
# Set up a transition from init to the daemon domain
# upon executing its binary.
define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)
')
#####################################
# domain_auto_trans(olddomain, type, newdomain)
# Automatically transition from olddomain to newdomain
# upon executing a file labeled with type.
#
define(`domain_auto_trans', `
# Allow the necessary permissions.
domain_trans($1,$2,$3)
# Make the transition occur by default.
type_transition $1 $2:process $3;
')
#####################################
# domain_trans(olddomain, type, newdomain)
# Allow a transition from olddomain to newdomain
# upon executing a file labeled with type.
# This only allows the transition; it does not
# cause it to occur automatically - use domain_auto_trans
# if that is what you want.
#
define(`domain_trans', `
# Old domain may exec the file and transition to the new domain.
allow $1 $2:file { getattr open read execute map };
allow $1 $3:process transition;
# New domain is entered by executing the file.
allow $3 $2:file { entrypoint open read execute getattr map };
# New domain can send SIGCHLD to its caller.
ifelse($1, `init', `', `allow $3 $1:process sigchld;')
# Enable AT_SECURE, i.e. libc secure mode.
dontaudit $1 $3:process noatsecure;
# XXX dontaudit candidate but requires further study.
allow $1 $3:process { siginh rlimitinh };
')
所以编译后的init_daemon_domain(surfaceflinger)
第一次展开为:
domain_auto_trans(init, surfaceflinger_exec, surfaceflinger)
第二次展开为:
domain_trans(init,surfaceflinger_exec,surfaceflinger)
type_transition init surfaceflinger_exec:process surfaceflinger;
最终展开为:
# Old domain may exec the file and transition to the new domain.
allow init surfaceflinger_exec:file { getattr open read execute map };
allow init surfaceflinger:process transition;
# New domain is entered by executing the file.
allow surfaceflinger surfaceflinger_exec:file { entrypoint open read execute getattr map };
# New domain can send SIGCHLD to its caller.
ifelse(init, `init', `', `allow surfaceflinger init:process sigchld;')
# Enable AT_SECURE, i.e. libc secure mode.
dontaudit init surfaceflinger:process noatsecure;
# XXX dontaudit candidate but requires further study.
allow init surfaceflinger:process { siginh rlimitinh };
type_transition init surfaceflinger_exec:process surfaceflinger;
init_daemon_domain(surfaceflinger) 展开后,前面一大堆是为后面一句做的权限准备,最后一句type_transition init surfaceflinger_exec:process surfaceflinger; 是说 init 域的进程在执行type为surfaceflinger_exec的可执行文件时,将其(process)转换到surfaceflinger域,从标签来说就是,init进程启动surfaceflinger时,不允许surfaceflinger继承其标签 u:r:init:s0 而是要将surfaceflinger的标签变成 u:r:surfaceflinger:s0。
所以类似surfaceflinger这种由init启动的native进程/服务,其标签要么是init.rc中由seclable 命令指定 ,要么是其对应的.te文件中由规则init_daemon_domain()宏声明,由init进程域转到了init_daemon_domain()声明的域中。
1855
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
