【Android】SElinux(Security-Enhanced Linux)

已于 2022-11-25 19:53:27 修改
阅读量2.9k 收藏 22
点赞数 6
分类专栏: android 文章标签: linux android
于 2022-11-25 19:46:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41028159/article/details/128038510
版权

作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。
SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。

  • Permissive mode: 其中权限拒绝被记录下来,但不强制执行。
  • Enforcing mode: 其中权限拒绝被记录和强制执行。
  • Disabled:表示SELinux没有实际运行。
setenv append_bootargs androidboot.selinux=permissive
saveenv

getenforce、setenforce命令
可以通过getenforce和setenforce命令来查看和切换当前的模式,如:

# 查看当前系统SELinux模式
jyq@ubuntu:~$ getenforce
Permissive
# 将SELinux模式设置为Enforcing模式,1表示Enforing模式,0表示Permissive模式
jyq@ubuntu:~$ sudo setenforce 1
jyq@ubuntu:~$ getenforce
Enforcing

但是需要注意的是,setenforce命令无法在Disabled的模式下进行模式的切换,如果要切换Diabled模式,则通过上面的bootargs来实现。

SELinux概念

一个政策规则的形式是:

allow source target:class permissions;
  • Source - 规则主体的类型(或属性)。谁在请求访问?
  • Target - 对象的类型(或属性)。要求访问的是什么?
  • Class - 被访问对象的种类(如文件、套接字)。
  • Permissions - 正在进行的操作(或一组操作)(例如,读、写)。

一个规则的例子是:

allow untrusted_app app_data_file:file { read write };

这说明应用程序被允许读写标有app_data_file的文件。还存在其他类型的应用程序。例如,isolated_app用于其清单中带有isolatedProcess=true的应用服务。Android没有对这两种类型重复规则,而是对涵盖应用程序的所有类型使用一个名为appdomain的属性:

# 将属性appdomain与类型untrusted_app相关联。
typeattribute untrusted_app, appdomain;

# 将属性appdomain与类型isolated_app相关联。
typeattribute isolated_app, appdomain;

allow appdomain app_data_file:file { read write };

allow appdomain app_data_file:file { read write };
与
allow appdomain app_data_file:file rw_file_perms;
相等

当写下一条指定属性名称的规则时,该名称会自动扩展到与该属性相关的域或类型列表。一些值得注意的属性是。

  • domain - 与所有进程类型相关的属性。
  • file_type - 与所有文件类型关联的属性。

在调试SELinux策略或标记文件时(通过file_contexts或运行ls -Z时),你可能会遇到一个安全上下文(也称为标签)。

# ls -Z /sys/devices/platform/sc-powerkey/wakeup
u:object_r:sysfs:s0 wakeup0

安全上下文具有这种格式:

user:role:type:sensitivity[:categories]

你通常可以忽略一个上下文的user:role:sensitivity。type也就是前面说的file_type。categories是SELinux中多级安全(MLS)支持的一部分。从android S开始,类别被用来:

  • 隔离应用程序的数据,使其不被其他应用程序访问。
  • 将应用程序数据从一个物理用户隔离到另一个。

实施SELinux

关键文件

要启用SELinux,请整合最新的安卓内核,然后纳入在system/sepolicy目录中发现的文件。编译后,这些文件构成了SELinux内核的安全策略,并覆盖了上游的安卓操作系统。

一般来说,你不应该直接修改 system/sepolicy 文件。相反,在/device/manufacturer/device-name/sepolicy目录下添加或编辑你自己的设备特定策略文件。

Policy 文件

以*.te结尾的文件是SELinux策略源文件,它定义域和它们的标签。你可能需要在/device/manufacturer/device-name/sepolicy中创建新的策略文件,但你应该尽可能地更新现有文件。

Context 文件

Context文件是你为你的对象指定标签的地方。

  • file_contexts: file_contex为文件分配标签,被各种用户空间组件使用。当你创建新的策略时,创建或更新这个文件来给文件分配新的标签。要应用新的file_contexts,需要重建文件系统镜像或对要重新标记的文件运行restorecon。在升级时,对file_contexts的改变会作为升级的一部分自动应用到系统和用户数据分区上。通过在分区被读写挂载后,在 init.board.rc 文件中添加 restorecon_recursive 调用,也可以在升级时自动应用到其他分区。
  • genfs_contexts: genfs_contexts给文件系统分配标签,比如不支持扩展属性的proc或vfat。这个配置作为内核策略的一部分被加载,但是变化可能不会对核心节点生效,需要重启或者卸载并重新挂载文件系统来完全应用这个变化。特定的标签也可以被分配给特定的挂载,比如使用context=mount选项的vfat。
  • property_contexts: 为Android系统属性分配标签,以控制哪些进程可以设置它们。这个配置在启动时由init进程读取。
  • service_contexts: 为Android绑定服务分配标签,以控制哪些进程可以为该服务添加(注册)和查找(查询)绑定参考。这个配置在启动时由servicemanager进程读取。
  • seapp_contexts: seapp_contex为应用程序进程和/data/data目录分配标签。这个配置在每个应用启动时由zygote进程读取,在启动时由installd读取。
  • mac_permissions.xml: 根据应用程序的签名和可选的软件包名称,为其分配一个seinfo标签。然后,这个seinfo标签可以作为seapp_contexts文件中的一个键,为所有带有该seinfo标签的应用程序分配一个特定的标签。这个配置在启动时由system_server读取。
  • keystore2_key_contexts: 为Keystore 2.0命名空间分配标签。这些命名空间是由keystore2守护程序执行的。Keystore一直提供基于UID/AID的命名空间。Keystore 2.0另外还强制执行sepolicy定义的命名空间。关于这个文件的格式和惯例的详细描述可以在这里找到。

举例子

properties

selinux就是给每个Object(是通过进程访问的文件,套接字,管道或网络接口等资源。)打一个标签,例如:

ro.boot.wifivendor   u:object_r:vendor_default_prop:s0

然后让audioserver的进程可以访问以vendor_default_prop为标签的properties(ro.boot.wifivendor)

get_prop(audioserver, vendor_default_prop)

这个是对properties的selinux设置方式。

增加对一个节点的SELinux访问权限

第一种方法

设置如下参数:

setenv append_bootargs androidboot.selinux=permissive
saveenv

你可能会得到如下的log

 type=1400 audit(1669145756.868:93): avc: denied { search } for comm="usb@1.3-service" name="usb" dev="sysfs" ino=39035 scontext=u:r:hal_usb_impl:s0 tcontext=u:object_r:sysfs_batteryinfo:s0 tclass=dir permissive=0

allow hal_usb_impl sysfs_batteryinfo:dir {search};

允许主体 hal_usb_impl访问客体sysfs_batteryinfo,dir是客体的问题类型,search是允许主体对客体的动作。

然后写到 hal_usb_impl对应的文件sepolicy/hal_usb_impl.te中。

也就是如下的原理:

allow Rule | source_domain | target_type   : class    | permission
----------------------------------------------------------------
allow        unconfined_t    ext_gateway_t : process    transition;


allow:表示allow规则
source_domain:主体Type标识,即domain
target_type:目标Type标识,即type
class:目标类型
permission:授予主体对目标的权限

以上语句也称为TE语法,如:

allow user_t user_home_t:file { create read write unlink };

该语法含义为:允许具有user_t类型的进程(主体)对具有user_home_t类型的、目标类是file的目标有create read write unlink的权限,或者为:允许domain为user_t的进程(主体)对type为user_home_t的、目标类为file的目标有create read write unlink的权限。

第二种方法

增加一个***.rc需要访问的文件:

write /proc/sys/kernel/sched_util_clamp_min_rt_default 512
  1. 首先搜索
system/sepolicy$ grep "sched_util_clamp_min_rt_default" ./ -nr
./private/genfs_contexts:73:genfscon proc /sys/kernel/sched_util_clamp_min_rt_default u:object_r:proc_sched:s0
./prebuilts/api/31.0/private/genfs_contexts:73:genfscon proc /sys/kernel/sched_util_clamp_min_rt_default u:object_r:proc_sched:s0
  1. 所以sys/kernel/sched_util_clamp_min_rt_default 的type 为proc_sched。
  2. 然后确定你要加入的.rc是放到systerm还是vendor
device$ grep "***.rc" ./ -nr
./:535:    $(DEVICE_PATH)/"***.rc":$(TARGET_COPY_OUT_VENDOR)/etc/init/hw/"**".rc \
Binary file ./.git/index matches
  1. 因为放在VENDOR 下面,所以在
    sepolicy/vendor_init.te中进行
allow vendor_init proc_sched:file w_file_perms
  1. 如果上面搜的是在systerm中而不是vendor中进行修改,应该在sepolicy/init.te进行:
allow init proc_sched:file w_file_perms;

第三种方法

dumpsys suspend_control_internal

时候遇到

avc: denied { read } for comm="binder:331_1" path="/sys/devices/platform/scu/scu:rtc/rtc/rtc0/alarmtimer.0.auto/wakeup/wakeup2/event_count" dev="sysfs" ino=38293 scontext=u:r:system_suspend:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=1

因为tcontext=u:object_r:sysfs:s0,肯定不可能让system_suspend对所有sysfs都有某种selinux权限,因此可以看到system_suspend.te中已经有如下的code:

system/sepolicy/private/system_suspend.te
r_dir_file(system_suspend, sysfs_wakeup)

我们要做的就是在device/***/sepolicy/file_context(也可以在genfs_contexts 中加入genfscon **)中加入

/sys/devices/platform/scu/scu:rtc/rtc/rtc0/alarmtimer.0.auto/wakeup/wakeup2/event_count   u:object_r:sysfs_wakeup:s0

也就是给它打一个标签,然后r_dir_file(system_suspend, sysfs_wakeup)能够找到它。

参考链接
Security-Enhanced Linux in Android
SELinux基础学习
雪饼android之路
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AndroidSELinux详解
achirandliu的专栏
06-07 892
AndroidSELinux详解
Android SELinux介绍和配置
fanx9339的博客
06-22 4330
SELinux是什么? SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为每一个进程,每一个文件,每一个属性都定义了标签,用来控制进程对文件的操作的权限控制!在安卓里面,SELinux有三种状态: enforce模式:强制模式,必须有配置权限才能执行相应的访问/操作permissive模式:宽容模式,打印记录出现的越权行为,但是不禁止该访问/操作disable:关闭模式,关闭SELinux,不受SELinux权限控制...
安卓SELinux策略
最新发布
似霰的博客
05-07 431
安卓SELinux策略
SELinux权限学习笔记
javac_jj的博客
04-19 1920
转载:SELinux权限学习笔记 - Hello-World3 - 博客园 1. 权限修改 方法1: adb在线修改seLinux $ getenforce; //获取当前seLinux状态,Enforcing(表示已打开),Permissive(表示已关闭) $ setenforce 1; //打开seLinux $ setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/con
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
android 新增分区
xss534890437的博客
01-13 1693
分区,挂载,selinux,文件系统
[高通MSM8953_64][Android10]新增并挂载custom分区
小小码农
03-29 1501
文章目录开发平台基本信息问题描述解决方法1.挂载分区2.添加selinux权限 开发平台基本信息 芯片: 高通MSM8953_64 版本: Android 10 kernel: msm-4.19 问题描述 由于高版本的Android系统,对权限的限制越来越严格,所以在Android10上新增分区还需要添加对应的selinux权限,除此之外,挂载分区的位置也跟7.1有点差别,其他的修改内容基本与7.1的一致,可参考[高通MSM8909][Android7.1]新增并挂载custom分区 解决方法 1.挂载分
Android系统开发】SEAndroid权限解决方法汇总
橙子和小果的博客
07-16 805
前言: 从android5.x开始,引入严格的selinux权限管理机制,经常会遇到各种avc denied的log。 SEAndroid就是SElinux的增强型版本。 确认问题 先排查是否由SElinux策略导致的问题 串口输入:setenforce 0 串口输入:getenforce 0 即进入了permissive 1. 强制关闭SEAndroid的方法: 1.1 方法一 如果是user版本固件,则在bootcmd加入androidboot.selinux =permissive即可 如
SelinuxSecurity Enhanced Linux)思维导图
11-17
SelinuxSecurity Enhanced Linux)思维导图,基于项目实际经验的总结。
简述AndroidSELinux的TE
08-27
SELinuxSecurity-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍AndroidSELinux的TE(Type Enforcement)...
Securing Android-Powered Mobile Devices Using SELinux
05-05
为解决这个问题,Android引入了Security-Enhanced LinuxSELinux)的变种——SEAndroid。SEAndroid是一种强制访问控制(MAC)系统,旨在提高Linux的安全性,通过细粒度的权限管理,限制了服务和进程之间的交互,...
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
SELinux For Android8.0 && SELinux 4.0
09-03
SELinuxSecurity-Enhanced Linux)是一种强制访问控制(MAC)系统,它为Linux内核提供了精细的权限管理。在Android操作系统中,SELinux扮演着至关重要的角色,确保系统的安全性和稳定性。本资源主要关注的是...
Android8.1-全志R311-如何打开APP获取su权限.pdf
09-02
Android系统中,尤其是从Android 6.1开始,由于引入了Security Enhanced LinuxSELinux)策略,系统的安全性得到了显著提升。然而,这种严格的权限管理有时会阻碍开发者或用户运行需要超级用户权限(root权限)的...
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
weixin_30606461的博客
06-24 600
在CentOS6.2 中安装intel 的c++和fortran 的编译器时,遇到来一个关于SELinux的强制模式不可执行的情况, 需要关闭SELinux 或者 将enforcing改为 permissive 模式,查询来一些资料后,先对SELinux的几种模式,以及其之间的关系和转换方法做一小结,以备以后查看和学习。 SELinux 的启动、关闭与查看 1、并非所有的 Linux dis...
Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
热门推荐
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解AndroidSELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
android7禁用selinux,Android7关闭selinux(设置为Permissive模式)
n_fly的博客
02-12 545
Android7关闭selinux(设置为Permissive模式)
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8951
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android SELinux
tengfeidx的博客
06-29 1652
ls -Z 查看selinux的服务
android selinux
07-28
Android SELinuxSecurity-Enhanced Linux)是一种强化了安全性的Linux内核安全模块,用于保护Android设备免受恶意软件和未经授权的访问。SELinux通过强制访问控制(MAC)机制对进程、文件和设备进行访问控制,提供了额外的安全层次。 在Android系统中,SELinux限制了应用程序的权限,并对系统资源的访问进行了约束。每个应用程序都有其自己的安全策略,使得恶意应用程序无法越权或破坏系统。通过使用SELinuxAndroid可以减少潜在漏洞的利用,并提供更高的安全性。 Android SELinux的工作原理是基于策略(Policy)和标签(Label)。策略定义了系统资源的访问规则,而标签则将进程、文件和设备与特定的安全策略相关联。当应用程序或进程尝试访问资源时,SELinux会检查其标签和策略,以决定是否允许该访问。 总的来说,Android SELinuxAndroid系统中的一个重要安全特性,它增强了系统的安全性,并提供了对应用程序和系统资源的细粒度访问控制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值