快速阅读

框架

SELinux介绍

看Android怎么写？

如何确认是SELinux 约束引起？

怎么抓取SELinux Log?

修改之后，怎么快速验证？

怎么从log中提取有效信息？

如何设置SELinux模式？

重点介绍

参考文档

架构

从上层到驱动层的调用流程，但是我们重点关注sContext:

注：

file_contexts //系统中所有file_contexts安全上下文

seapp_contexts //app安全上下文

property_contexts //属性的安全上下文

service_contexts    //service文件安全上下文

genfs_contexts //虚拟文件系统安全上下文

以上文件system/sepolicy中都有对应的内容

例如：通过adb shell ls –Z指令查看文本的sContext

通过adb shell ps -Z指令可以查看进程的sContext

SELinux介绍

SELinux的背景

1.SELinux则是由美国NSA（国安局）和一些公司（RedHat、Tresys）设计的一个针对Linux的安全加强系统

2.SELinux 按照默认拒绝的原则运行：任何未经明确允许的行为都会被拒绝

3.SELinux的两种模式。

宽容模式：权限拒绝事件会被记录下来，但不会被强制执行。

强制模式：权限拒绝事件会被记录下来并强制执行。

4.Android 4.3（宽容模式）和 Android 4.4（部分强制模式），之后就全面强制执行SELinux

SeLinux作用

提高Android安全性。非法操作会被阻止，并且尝试进行的所有违规行为都会被内核记录到 dmesg 和 logcat 中。例如，app访问文件：/proc/sys/kernel/printk，app设置属性：persist.qiku.log.level等

看Android怎么写？

具体源码路径：

system/sepolicy

注：

1)system/sepolicy/public/te_macros----这是定义方法的地方。eg:init_daemon_domain(adbd)

2)system/sepolicy/Android.mk中有对private、public、vendor目录的说明，具体如下：

详细说明：

在Android8.0以上，SELinux策略分离成平台（platform）和非平台（non-platform）两部分，而平台策略为了给非平台作者导出特定的类型和属性，又分为平台私有（platform private）和平台公有（platform public）部分。

1.平台公有策略（platform public seoplicy）

平台共有策略全部定义在/system/sepolicy/public下，public下的type和attribute可以被non-platform中的策略所使用，也就是说，设备制造商的sepolicy作者在non-platform下可以对platform public sepolicy的策略进行扩展。

2.平台私有策略（platform private seoplicy）

与公有策略相反，被声明为私有策略的type或attribute对non-platform的策略作者是不可见的。

举例，以8.0版本的aosp源代码中的/system/sepolicy/private/目录下的atrace.te文件为例。

1）system/sepolicy/private/file_contexts有定义“/system/bin/atrace    u:object_r:atrace_exec:s0”

2）system/sepolicy/private/atrace.te有定义atrace相关的规则

3）我们在device/qcom/sepolicy/common目录下新增一个atrace.te文件，并添加规则 "allow atrace sdcardfs:file read;"

当我们make sepolicy进行编译时会在校验的时候失败，提示我们“device/qcom/sepolicy/common/atrace.te:2:ERROR 'unknown type atrace' at token ';' on line 23355”，那么也就是说private策略中的type和attribute对我们是不可见的。

注：

自我认知说明，scontext只有平台和非平台之分，也就是说，定义在平台private下面file_contexts属性，public和非平台的也可以共享它。

如何确认是Selinux 约束引起？

userdebug版本:

adb root

adb shell setenforce 0

eng版本:

adb shell setenforce 0

详细介绍：

adb shell setenforce 0

0--代表Permissive

1--代表Enforcing

adb shell getenforce---查看状态

如果设置成permissive mode 后问题依旧，说明还有其他的权限问题约束，否则就是SELinux 方面的问题

怎么抓取SELinux Log?

1.adb shell dmesg----抓kernel log

(特别说明：adb shell "cat /proc/kmsg | grep avc" > avc_log.txt  可以直接提出avc的log)

2.adb logcat –b events

关键字：

avc: denied

修改之后，怎么快速验证？

方法一：

mmm system/sepolicy

生成out目录下，注意有两个目录：

system/etc/sepolicy---Android 原生的，建议不动。如果修改，会影响CTS

vendor/etc/sepolicy---第三方厂家修改。

特别说明：

system/sepolicy/Android.mk中定义了一些属性

BOARD_SEPOLICY_DIRS  ##此宏涉及到的目录，会编译到vendor/etc/sepolicy下

PLAT_PUBLIC_POLICY ##此宏涉及到的目录，会当成system/sepolicy/public

PLAT_PRIVATE_POLICY##此宏涉及到的目录，会当成system/sepolicy/private

另外，单独编译后，会发现都会有对应的生成目录

方法二：

make sepolicy

怎么从log中提取有效信息？

举例1

<36>[  103.972283] c0    484 type=1400 audit(1536907169.826:34): avc: denied { read } for pid=2591 comm="roid.qh_engmode" name="printk" dev="proc" ino=35544 scontext=u:r:radio:s0 tcontext=u:object_r:proc:s0 tclass=file permissive=0

普通提取：

allow radio proc:file read;
关键字：

avc: denied { read }  scontext=u:r:radio:s0 tcontext=u:object_r:proc:s0  tclass=file

格式：

allow scontext tcontext:tclass {read}

深入提取：

1.观察原生：

2.自建：

1）定义路径

新建文件

genfscon_contexts

输入

genfscon proc /sys/kernel/printk u:object_r:proc_printk:s0

注：proc_printk是自定义的名字

2）定义type

type proc_printk, fs_type, proc_type;

注：

可以新建一个proc_printk.te，或者直接在file.te中导入

3）重新封装

allow radio proc_printk:file read;

目的：

防止与原生中的neverallow发生冲突

举例2

14: 09-03 12:21:04.673  2325  2325 I sh      : type=1400 audit(0.0:12): avc: denied { open } for path="/data/misc/qiku" dev="sda35" ino=508404 scontext=u:r:shell:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

普通提取

allow shell system_data_file:dir open;

深入提取

1.观察原生：

2.自建：

1）定义路径

新建文件

file_contexts

输入：

/data/misc/qiku(/.*)?  u:object_r:qiku_data_file:s0

2）定义type

type qiku_data_file, file_type, data_file_type;

注：

可以新建一个qiku_data_file.te，或者直接在file.te中导入

3）重新封装

allow shell qiku_data_file:dir open;

如何设置SELinux模式？

两种方案：

方案一：修改system/core/init/Android.mk

ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT)))

init_options += \

    -DALLOW_LOCAL_PROP_OVERRIDE=1 \

    -DALLOW_PERMISSIVE_SELINUX=1 \

    -DREBOOT_BOOTLOADER_ON_PANIC=1 \

    -DWORLD_WRITABLE_KMSG=1 \

    -DDUMP_ON_UMOUNT_FAILURE=1

else

修改为

ifneq (,$(filter user userdebug eng,$(TARGET_BUILD_VARIANT)))

方案二：直接简单粗暴的修改代码system/core/init/selinux.cpp

bool IsEnforcing() {

return false; //force set selinux permissive.

if (ALLOW_PERMISSIVE_SELINUX) {

return StatusFromCmdline() == SELINUX_ENFORCING;

}

return true;

}

重点介绍

1）Android权限必须显示声明，没有声明的话默认就没有权限。

2）neverallow语句的作用

在生成安全策略文件时进行检查，判断是否有违反neverallow语句。也就是说编译过程中，发现neverallow中有注明不能allow的权限，而你又allow了一条，就会编译不过。

参考文档

https://blog.csdn.net/Innost/article/details/19299937

https://blog.csdn.net/Innost/article/details/19641487

https://blog.csdn.net/Innost/article/details/19767621

https://blog.csdn.net/huangyabin001/article/details/79290382

https://source.android.com/security/selinux/device-policy#label_new_services_and_address_denials

https://source.android.com/devices/architecture/configuration/add-system-properties?hl=zh-cn