前言

SELinux是一種加強文件安全的一種策略，可以更好地保護我們的Android系統(tǒng)， 比如限制系統(tǒng)服務的訪問權限、控制應用對數(shù)據(jù)和系統(tǒng)日志的訪問等措施，這樣就降低了惡意軟件的影響，并且可以防止因代碼存在的缺陷而產(chǎn)生的對系統(tǒng)安全的影響。

從系統(tǒng)安全方面考慮，SELinux是保護神，但是從軟件開發(fā)方面，SELinux就是一道牽絆，這是一把雙刃劍。SELinux默認開啟，即使獲得了該系統(tǒng)的root權限，也只能向相關策略中指定的設備寫入數(shù)據(jù)，從而更好地保護和限制系統(tǒng)服務，保障系統(tǒng)和數(shù)據(jù)的安全。

環(huán)境

硬件平臺：Google Pixel2
操作系統(tǒng)：Android10.0

selinux有兩種工作模式

SELinux 依靠標簽來匹配操作和策略。標簽用于決定允許的事項。套接字、文件和進程在 SELinux 中都有標簽。SELinux 在做決定時需參照兩點：一是為這些對象分配的標簽，二是定義這些對象如何交互的策略。

在 SELinux 中，標簽采用以下形式：user:role:type:mls_level，其中 type 是訪問決定的主要組成部分，可通過構成標簽的其他組成部分進行修改。對象會映射到類，對每個類的不同訪問類型由權限表示。

策略規(guī)則采用以下形式：allow domains types:classes permissions;，其中：

策略配置源文件

• external/sepolicy
  這是獨立于設備的配置，一般不能針對設備進行修改
• device///sepolicy
  這是特定于設備的配置，基于 BOARD_SEPOLICY_* 變量來選擇對應平臺的策略配置。

Type Enforcement (TE) 配置文件

.te 文件中保存了對應對象的域和類型定義、規(guī)則。通常每個域一個 .te 文件，例如installd.te。在 device.te、file.te 中聲明了設備和文件類型。在某些文件（例如domain.te、app.te）中則存儲著共享規(guī)則。

標簽配置文件

• file_contexts：文件安全上下文
• property_contexts：屬性安全上下文

SEAndroid app分類

SELinux(或SEAndroid)將app劃分為主要三種類型(根據(jù)user不同，也有其他的domain類型)：

從上面劃分，權限等級，理論上：untrusted_app < platform_app < system_app

user

user可以理解為UID。android的UID和linux的UID根本是兩回事，Linux的UID是用于針對多用戶操作系統(tǒng)中用于區(qū)分用戶的，而Android中的UID是用于系統(tǒng)進行權限管理的。參考鏈接中的文章對于uid的產(chǎn)生講的很清楚。

seinfo

不同簽名會創(chuàng)建對應的selinux上下文。
Android.mk
LOCAL_CERTIFICATE := platform
有platform簽名，所以seinfo是platform。

自定義安全策略

以上面兩個運行的app來說，我們?yōu)檫@兩個APP添加額外的權限，對應的TE配置文件分別就是system_app.te、untrusted_app.te，對應路徑為：

$aosp/system/sepolicy/public/system_app.te
$aosp/system/sepolicy/public/untrusted_app.te

以longzhiye.example.app為例，我們?yōu)槠涮砑觕an設備的執(zhí)行權限：

longzhiye@longzhiye-laptop:~/mount/project/androidq$ vi system/sepolicy/public/system_app.te

......
allow system_app vendor_shell_exec:file { getattr open read execute execute_no_trans };
allow system_app shell_exec:file { getattr open read execute execute_no_trans };
allow system_app shell:file { getattr open read execute execute_no_trans };
......

以策略規(guī)則配置形式（allow domains types:classes permissions）

分析：

neverallow failures

有時我們增加的權限，系統(tǒng)默認的配置是不允許的，比如我們上面給forlinx.example.app增加的執(zhí)行腳本的權限，報錯如下：

libsepol.report_failure: neverallow on line 9 of system/sepolicy/private/system_app.te
(or line 41463 of policy.conf) violated by allow system_app shell:file { read open };
libsepol.report_failure: neverallow on line 22 of system/sepolicy/private/shell.te
(or line 40025 of policy.conf) violated by allow system_app shell:file { read open };
libsepol.check_assertions: 2 neverallow failures occurred

系統(tǒng)默認的安全策略的路徑為system/sepolicy/，根據(jù)報錯的提示，我們可以修改默認的配置，修改system/sepolicy/private/system_app.te和system/sepolicy/private/shell.te，從而完成權限的賦予。

安卓中快速編譯sepolicy并驗證(需要本地代碼整編過一次，已經(jīng)生成out目錄)

$ mmm system/sepolicy/
$ adb push out/target/product/xxx/system/etc/selinux /system/etc/selinux
$ adb push out/target/product/xxx/vendor/etc/selinux /vendor/etc/selinux

也可單編systemimage，并刷機

$ make systemimage
$ adb reboot bootloader
$ fastboot flash system ./system.img
$ fastboot reboot

如何應對neverallow? 繞過CTS認證

在system/sepolicy/private/logpersist.te與system/sepolicy/prebuilts/api/29.0/private/logpersist.te中配置以下allow語句并編譯，
會報neverallow的錯。如下聲明allow:
allow logpersist system_data_file:dir write;
這表示谷歌不允許我們使用allow語句，解除限制的最暴力方法就是將報錯處的neverallow語句刪掉，這樣確實可行，但是會過不了cts。
由于我們要訪問的目錄path為/data/syslog，將該目錄定義成自己的Type，可以自定義Type，如下：
在file.te中自定義一個type為file_type，data_file_type，core_data_file_type：
（1）type log_data_file, file_type, data_file_type, core_data_file_type;
在file_contexts中定義安全上下文：
（2）/data/syslog(/.*)? u:object_r:log_data_file:s0
在logpersist.te將allow語句改為：
（3）allow logpersist log_data_file write;
然后在logpersist.te中單獨將自定義的log_data_file減去即可。(這里最好的是自定義一個service代替logpersist，那就要新建一個te文件了，比較麻煩)

neverallow logpersist {
  file_type
  userdebug_or_eng(`-misc_logd_file -coredump_file')
  with_native_coverage(`-method_trace_data_file')
  -log_data_file
}:file { create write append };

如何新增domian域？（一般在平臺相關目錄下添加）

例子如下
在device/平臺名/system/private/file_contexts 文件添加

# tcontext=u:object_r:sysfs:s0

/sys/kernel/display/abcd u:object_r:wxl_abcd:s0 #wxl_abcd替換sysfs，wxl_abcd隨便取

在device/平臺名/system/public/file.te 中添加

type wxl_cabc, fs_type,sysfs_type;

在 device/平臺名/system/private/system_server.te 文件中添加

allow system_server wxl_abcd:file { r_file_perms w_file_perms rw_file_perms };

添加 write 或者 read 的權限要注意 open 的權限，最后使用 r_file_perms、w_file_perms、rw_file_perms。

添加設備文件節(jié)點權限(sysfs gpio管腳節(jié)點權限)？

/sys/class/leds/green/brightness //快捷方式
/sys/devices/soc.0/gpio-leds.66/leds/green/brightness //實際節(jié)點

操作LED燈的設備文件節(jié)點為APP層system app進程開放該節(jié)點訪問權限(讀或寫)，權限配置主要修改（一般在/device/平臺/sepolicy/common）目錄下的file.te、file_contexts和system_app.te三個文件
（1）file.te修改如下：
# GPIO accessed by system app

type sysfs_gpio, fs_type, sysfs_type;

（2）file_contexts修改如下：

    /sys/devices/soc/1010000.pinctrl/gpio/gpio62/value           u:object_r:sysfs_gpio:s0
    /sys/devices/soc/1010000.pinctrl/gpio/gpio63/value           u:object_r:sysfs_gpio:s0

（3）system_app.te修改如下：

    allow system_app sysfs_gpio:file rw_file_perms;

如果通過以上添加SELinux之后，仍沒有權限讀寫sys或proc節(jié)點，需要到/system/core/rootdir/init.rc里面配置如下:
（1）修改設備節(jié)點用戶所有者和所屬用戶組，以及它們所對應的權限
chown system system 設備文件結點
chmod 777 設備文件結點

修改selinux沒有生效？？？

將SELinux Policy 文件存放在下面目錄
（1） Google 原生目錄 /system/sepolicy
（2） 廠商配置目錄 /device/廠商平臺/sepolicy/
android將SELinux Policy 文件存放的te一般都是在device/平臺/sepolicy 和 /system/sepolicy兩個目錄下

到此這篇關于Android系統(tǒng)SELinux詳解的文章就介紹到這了,更多相關Android系統(tǒng)SELinux內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論