当前位置:   article > 正文

Android SELinux

android selinux

转自:https://blog.csdn.net/ch853199769/article/details/82501078

https://blog.csdn.net/su749520/article/details/82800050

 

引言

本文是对SEAndroid方面知识拾人牙慧后的一些总结。

SEAndroid是一套以SeLinux为核心的系统安全机制。 

 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。在SELinux出现之前,Linux的安全模型是DAC(DiscretionaryAccess Control),译为自主访问控制。其核心思想是进程理论上所拥有的权限与运行它的用户权限相同。比如,以root用户启动shell,那么shell就有root用户的权限,在Linux系统上能干任何事。这种管理显然比较松散。

         在SELinux中,如果需要访问资源,系统会先进行DAC检查,不通过则访问失败,然后再进行MAC权限检查。

SEAndroid框架

         回到SEAndroid,SEAndroid的框架图如下:

 

 

 

主要分为两部分:用户空间和内核空间,两者以SELinux文件系统的接口为界。libselinux中封装了访问Security Context、加载资源安全策略和访问SELinux内核文件的接口。

先来看内核空间,在内核空间中,存在一个SELinux LSM模块,这个模块包含有一个访问向量缓冲(Access Vector Cache)和一个安全服务(Security Server)。Security Server负责安全访问控制逻辑,即由它来决定一个主体访问一个客体是否是合法的。这里说的主体一般就是指进程,而客体就是主体要访问的资源,例如文件。

在实际系统中,以/sys/fs/selinux为安装点,安装一个类型为selinuxfs的文件系统,也就是SELinux文件系统,用来与内核空间的SELinux LSM模块通信。

LSM,全称是Linux Security Model。LSM可以说是为了SELinux而设计的,但是它是一个通用的安全模块,SELinux可以使用,其它的模块也同样可以使用。这体现了Linux内核模块的一个重要设计思想,只提供机制实现而不提供策略实现。在我们这个例子中,LSM实现的就是MAC机制,而SELinux就是在这套机制下的一个策略实现。也就是说,你也可以通过LSM来实现自己的一套MAC安全机制。

SELinux、LSM和内核中的子系统是如何交互的呢?首先,SELinux会在LSM中注册相应的回调函数。其次,LSM会在相应的内核对象子系统中会加入一些Hook代码。例如,我们调用系统接口read函数来读取一个文件的时候,就会进入到内核的文件子系统中。在文件子系统中负责读取文件函数vfs_read就会调用LSM加入的Hook代码。这些Hook代码就会调用之前SELinux注册进来的回调函数,以便后者可以进行安全检查。

SELinux在进行安全检查的时候,首先是看一下自己的Access Vector Cache是否已经有缓存。如果有的话,就直接将结果返回给相应的内核子系统就可以了。如果没有的话,就需要到Security Server中去进行检查。检查出来的结果在返回给相应的内核子系统的同时,也会保存在自己的Access Vector Cache中,以便下次可以快速地得到检查结果。

流程图如下:

 

允许访

 

 

 

 

 

 

 

 

 

从图中可以看到,内核中的资源在访问的过程中,一般需要获得三次检查通过:

      1. 一般性错误检查,例如访问的对象是否存在、访问参数是否正确等。

     2. DAC检查,即基于Linux UID/GID的安全检查。

      3. SELinux检查,即基于安全上下文和安全策略的安全检查。

 

再来看用户空间,分三部分:Security Context、Security Server、SEAndroid Policy。

Security Context里保存着资源的安全上下文,整套SEAndroid系统就是基于这些安全上下文实现的。

Security Server由应用程序安装服务PackageManagerService、应用程序安装守护进程installd、应用程序进程孵化器Zygote进程以及init进程组成。其中,PackageManagerService和installd负责创建App数据目录的安全上下文,Zygote进程负责创建App进程的安全上下文,而init进程负责控制系统属性的安全访问。它有三个任务:1、在开机时将资源安全访问策略SEAndroid Policy加载进内核空间;2、去Security Context中查找安全上下文;3、获取内核空间中安全上下文对应的资源访问权限。

守护进程installd负责创建App数据目录。在创建App数据目录的时候,需要给它设置安全上下文,使得SEAndroid安全机制可以对它进行安全访问控制。Installd根据PackageManagerService传递过来的seinfo,并且调用libselinux库提供的selabel_lookup函数到前面我们分析的seapp_contexts文件中查找到对应的Type。有了这个Type之后,installd就可以给正在安装的App的数据目录设置安全上下文了,这是通过调用libselinux库提供的lsetfilecon函数来实现的。

在Android系统中,Zygote进程负责创建应用程序进程。应用程序进程是SEAndroid安全机制中的主体,因此它们也需要设置安全上下文,这是由Zygote进程来设置的。组件管理服务ActivityManagerService在请求Zygote进程创建应用程序进程之前,会到PackageManagerService中去查询对应的seinfo,并且将这个seinfo传递到Zygote进程。于是,Zygote进程在fork一个应用程序进程之后,就会使用ActivityManagerService传递过来的seinfo,并且调用libselinux库提供的selabel_lookup函数到前面我们分析的seapp_contexts文件中查找到对应的Domain。有了这个Domain之后,Zygote进程就可以给刚才创建的应用程序进程设置安全上下文了,这是通过调用libselinux库提供的lsetcon函数来实现的。

    在Android系统中,属性也是一项需要保护的资源。Init进程在启动的时候,会创建一块内存区域来维护系统中的属性,接着还会创建一个Property服务。这个Property服务通过socket提供接口给其它进程访问Android系统中的属性。其它进程通过socket来和Property服务通信时,Property服务可以获得它的安全上下文。有了这个安全上下文之后,Property服务就可以通过libselinux库提供的selabel_lookup函数到前面我们分析的property_contexts去查找要访问的属性的安全上下文了。有了这两个安全上下文之后,Property服务就可以决定是否允许一个进程访问它所指定的属性了。

SEAndroid Policy就是SEAndroid的安全策略,实际是在系统编译时生成的一个sepolicy文件,在init进程中被加载到SELinux内核中。

 

 

机制实现

要想理解SEAndroid,就先要了解它的基础——对象。主体通常是进程,是访问者,客体就是指进程被访问的资源,例如文件、系统属性等。

安全上下文实际上是一个附加在对象上的标签(Tag)。这个标签实际上就是一个字符串,它由四部分内容组成,分别是SELinux用户、SELinux角色、类型、安全级别,,每一个部分都通过一个冒号来分隔,格式为“user:role:type:sensitivity”。

例如,在开启了SEAndroid安全机制的设备上执行带-Z和-ef选项的ls命令,就可以看到一个文件的安全上下文:

-rwxr-x---root     root     u:object_r:rootfs:s0 init.rc

 

上面的命令列出文件/init.rc的安全上下文为“u:object_r:rootfs:s0”,这表明文件/init.rc的SELinux用户、SELinux角色、类型和安全级别分别为u、object_r、rootfs和s0。

又如,在开启了SEAndroid安全机制的设备上执行带-Z选项的ps命令,就可以看到一个进程的安全上下文:

LABEL                          USER     PID  PPID  NAME

u:r:init:s0                    root      1    0     /init

......

 

上面的命令列出进程init的安全上下文为“u:r:init:s0”,这表明进程init的SELinux用户、SELinux角色、类型和安全级别分别为u、r、init和s0。

         在SEAndroid中,用户、角色和安全级别都分别只有一个,故安全上下文中最重要的是类型这一属性。

         对于进程来说,SELinux用户和SELinux角色只是用来限制进程可以标注的类型。而对于文件来说,SELinux用户和SELinux角色就可以完全忽略不计。为了完整地描述一个文件的安全上下文,通常将它的SELinux角色固定为object_r,而将它的SELinux用户设置为创建它的进程的SELinux用户。

在SEAndroid中,只定义了一个SELinux用户u,因此我们通过ps -Z和ls -Z命令看到的所有的进程和文件的安全上下文中的SELinux用户都为u。同时,SEAndroid也只定义了一个SELinux角色r,因此,我们通过ps -Z命令看到的所有进程的安全上下文中的SELinux角色都为r。SELinux的配置文件有:

device/ mediate/common/BoardConfig.mk->TE环境的一些配置,如te文件的路径

system/sepolicy/public/attributes-> 所有定义的attributes都在这个文件

system/sepolicy/private/access_vectors-> 对应了每一个class可以被允许执行的命令

system/sepolicy/public/roles-> Android中只定义了一个role,名字就是r,并将r和attribute domain关联起来

system/sepolicy/private/users-> 其实是将user与roles进行了关联,设置了user的安全级别,s0为最低级是默认的级别,s15是最高的级别

system/sepolicy/private/security_classes->这个class的内容是指在android运行过程中,程序或者系统可能用到的操作的资源类型,它们在*.te文件中会用到。

system/sepolicy/public/te_macros-> 系统定义的宏全在te_macros文件

system/sepolicy/下public目录和private目录、device/sepolicy/mediate/,以及device/sepolicy/mediate/[platformcode]中的te文件 -> 一些配置的文件,包含了各种运行的规则

以上文件路径均是在MTK平台的Android 8.0项目中。以上配置文件,user和roles都比较好理解,BoardConfig.mk配置了te文件的路径:

BOARD_SEPOLICY_DIRS:= \

        device/mediatek/sepolicy/basic/non_plat\

        device/mediatek/sepolicy/bsp/non_plat \

        device/mediatek/sepolicy/full/non_plat

BOARD_PLAT_PUBLIC_SEPOLICY_DIR:= \

       device/mediatek/sepolicy/basic/plat_public \

       device/mediatek/sepolicy/bsp/plat_public \

        device/mediatek/sepolicy/full/plat_public

BOARD_PLAT_PRIVATE_SEPOLICY_DIR:= \

       device/mediatek/sepolicy/basic/plat_private \

       device/mediatek/sepolicy/bsp/plat_private \

       device/mediatek/sepolicy/full/plat_private

BOARD_PREBUILTS_FULL_PUBLIC_PLAT_DIRS:= \

       device/mediatek/sepolicy/basic/prebuilts/api/26.0/plat_public \

       device/mediatek/sepolicy/bsp/prebuilts/api/26.0/plat_public \

       device/mediatek/sepolicy/full/prebuilts/api/26.0/plat_public

BOARD_PREBUILTS_FULL_PRIVATE_PLAT_DIRS:= \

       device/mediatek/sepolicy/basic/prebuilts/api/26.0/plat_private \

       device/mediatek/sepolicy/bsp/prebuilts/api/26.0/plat_private \

       device/mediatek/sepolicy/full/prebuilts/api/26.0/plat_private

BOARD_COMPAT_MAPPING_CIL_DIRS:= \

       device/mediatek/sepolicy/full/private/compat/26.0/26.0.cil

BOARD_COMPAT_MAPPING_IGNORE_CIL_DIRS:= \

       device/mediatek/sepolicy/full/private/compat/26.0/26.0.ignore.cil

BOARD_26.0_NONPLAT_FILE:= \

        device/mediatek/sepolicy/full/prebuilts/api/26.0/nonplat_sepolicy.cil

对应路径下就是各种te文件,当然,BoardConfig.mk文件不止配置了SEAndroid。经试验,系统服务的安全上下文声明要放在BOARD_PLAT_PRIVATE_SEPOLICY_DIR中的目录下,否则不生效,SEAndroid编译生成的文件在手机系统中的system/etc/selinux目录下。

在SEAndroid中,所有的东西都被抽象成类型。进程,抽象成类型;资源,抽象成类型。属性,是类型的集合。所以,TE规则中的最小单位就是类型。一般来说,资源的类型,都定义在了security_classes文件中,句式如下:

class XXX;

type则可由开发者自己定义,可定义在一些te文件中,句式如下:

type xxx

类型又可集合成属性,属性的出现简化了TE规则的配置,例如,如果要配置m个进程对同一组资源(n个)的访问权限,没有属性的话需要一个一个去设置,要m*n行代码,而设置这n个资源为同一个属性的话,只需要m+1行代码,声明X类型有Y和Z属性句式如下:

type X,,Y,Z; 

在主体对客体,又有不同的操作类型,如读、写和创建等,这些操作类型定义在access_vectors中,如:

common file

{

         ioctl

         read

         write

         create

         getattr

         setattr

         lock

         relabelfrom

         relabelto

         append

         map

         unlink

         link

         rename

         execute

         quotaon

         mounton

}

以上的配置文件都是为了服务于te文件中的规则。te文件中除了声明类型,并关联属性之外,主要就是声明一些类型的安全权限。举个例子:

 

allow zygote{appdomain system_app}:process { getpgid setpgid };

 

  允许zygote类型的进程对appdomain和system_app类型的进程执行getpgid和setpgid操作;

 

  rule_name:allow;

 

  soruce_type:zygote;

 

  target_type:appdomain,system_app;

 

  object(security)class:process;

 

  accessvector:getpgid  setpgid;

 

“{}”可以用以表示一组type或操作集,简化了te语句的书写。除了“{}”还有其他的语法,如“~getpgid”表示process相关操作除了getpgid的操作集;“file_type -system_file”表示拥有file_type属性中除了system_file的类型集;“*”表示所有内容。

之前的例子中还要说明一下rule_name,它不止有一个allow(赋予权限),还有:

neverallow:检查安全策略文件中是否有违反该项操作的allow语句,用来阻止某些操作,allow和neverallowe不可冲突,否则会编译报错,且不可随意更改,否则可能导致CTS测试失败;

allowaudit:audit含义就是记录某项操作,默认情况下SELinux只记录那些权限检查失败的操作。allowaudit则使得权限检查成功的操作也被记录。注意:allowaudit只是允许记录,它和赋予权限没有关系。赋予权限必须且只能使用allow语句。

dontaudit:对那些权限检查失败的操作不做记录;

 

看到这里,思考一下,绝大多数文件总会归属于某一个目录,即使文件数量庞大,只有声明了目录的权限即可,那进程呢?Android系统中的重要固有进程应该都已经设置了权限,那么应用呢?原生的系统并不知道会有什么其他应用会运行在系统中,那怎么定义这些应用进程的权限呢?

答案是根据它们的特点归类。这个归类方案定义在seapp_context中:

isSystemServer=truedomain=system_server

user=systemseinfo=platform domain=system_app type=system_app_data_file

user=bluetoothseinfo=platform domain=bluetooth type=bluetooth_data_file

user=nfcseinfo=platform domain=nfc type=nfc_data_file

user=radioseinfo=platform domain=radio type=radio_data_file

user=shared_relrodomain=shared_relro

user=shellseinfo=platform domain=shell type=shell_data_file

user=_isolateddomain=isolated_app levelFrom=user

user=_appseinfo=media domain=mediaprovider name=android.process.media type=app_data_filelevelFrom=user

user=_appseinfo=platform domain=platform_app type=app_data_file levelFrom=user

user=_appisV2App=true isEphemeralApp=true domain=ephemeral_app type=app_data_filelevelFrom=user

user=_appisPrivApp=true domain=priv_app type=app_data_file levelFrom=user

user=_appminTargetSdkVersion=26 domain=untrusted_app type=app_data_file levelFrom=user

user=_appdomain=untrusted_app_25 type=app_data_file levelFrom=user

 

如这一行:

user=_appseinfo=platform domain=platform_app type=app_data_file levelFrom=user

 

意思是seinfo为platform的app的属性为platform_app,其进程的权限与platform_app相同(权限定义在platform_app.te中),产生的文件类型为app_data_file,其安全权限与app_data_file相同。Seinfo的定义在mac_permissions.xml中,主要是根据app签名区分。

还有一些语法规则如type_transition(声明主体新建某些进程或文件时,这些进程或文件会转变为另一个类型,不与主体相同)、type_change、alias等,使用不多。

 

 

了解了SEAnroid的基本原理,接下来看一下如何定制符合项目需求的安全策略,想象一下该情景,某个进程需要访问某个目录,进行操作,发现操作失败,输出log如下:

type=1400audit(1882976.149:5): avc: denied { write } for pid=3194comm="BluetoothAdapte"name="aplog" dev="mmcblk0p22" ino=88 scontext=u:r:bluetooth:s0tcontext=u:object_r:system_data_file:s0tclass=dir

这句log是违反SEAndroid  MAC访问策略的一个访问记录。scontext表示进程的SContext,u:r:bluetooth:s0,属于bluetooth域;

  tcontext表示目标的SContext,u:r:system_data_file:s0,属于system_data_file类型;

  tclass表示进程要操作的ObjectClass,dir表示目录;

  mmcblk0p22是userdata分区,write表示写操作。

  连起来就是bluetooth域的进程(BluetoothAdapte),对system_data_file类型的dir执行write操作失败。明确了失败原因,我们就可以在安全策略配置文件中定制我们自己的策略了:

  在bluetooth.te文件中

  allow bluetooth system_data_file:dirw_dir_perms;

  w_dir_perms是一个宏,其定义在global_macros中,包含了write相关操作:

  define(`w_dir_perms', `{ open search write add_nameremove_name }')

 

 

 

在项目开发中,我们在/dev目录下建立了一个新的设备文件tfa98xx,这是一个音频相关的设备文件,但是在集成framework层的代码后,总是出现下面的访问错误,应该如何处理呢?

  type=1400 audit(3635791.670:21): avc: denied{ read write } for pid=273 comm="mediaserver"name="tfa98xx" dev="tmpfs" ino=9770 scontext=u:r:mediaserver:s0tcontext=u:object_r:device:s0 tclass=chr_file

  首先,我们先看一下访问失败的原因:从log看,应该是mediaserver域的进程没有权限读写device类型的字符设备文件。那么我们能不能在mediaserver.te中加入访问权限呢?

  在domain.te中有如下定义:

  [external/sepolicy/domain.te]

  neverallow { domain -unconfineddomain -ueventd} device:chr_file { open read write };

  也就是说除了unconfineddomain和uevented域外,所有在domain域中的进程都不能对device类型的字符设备文件执行open,read,write操作。

mediaserver也属于domain域,所以肯定不能通过添加策略来设置访问权限,怎么办呢?

  在mediaserver.te中,我们发现mediaserver域是可以对audio_device类型的字符设备执行读写的:

  allow mediaserver audio_device:chr_filerw_file_perms;

  那么,能不能通过打标签的方法,把/dev/tfa98xx设置为audio_device类型呢?答案是肯定的。

  在file_context文件中设置/dev/tfa98xx的安全属性,问题解决了:

  /dev/tfa9890      u:object_r:audio_device:s0

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/961967
推荐阅读
相关标签
  

闽ICP备14008679号