一、SELinux資源訪問基本概念

 SELinux使用類型強(qiáng)制來改進(jìn)強(qiáng)制訪問控制。所有的主體（程序進(jìn)程）對客體（文件/socket等資源）的訪問都有一條TE規(guī)則來許可。當(dāng)程序訪問一個(gè)資源的時(shí)候，系統(tǒng)會(huì)搜索所有的TE規(guī)則集，并根據(jù)結(jié)果進(jìn)行處理。這個(gè)規(guī)則集是由訪問向量規(guī)則（AV， Access Vector）來描述的。

內(nèi)核向外部暴露允許訪問的資源權(quán)限，由TE來描述主體擁有什么樣的訪問權(quán)。SELinux定義了30個(gè)不同的客體類別：

security process system capability filesystem file dir fd lnk_file chr_file blk_file socket_file ... 

每個(gè)客體類別都定義了操作許可，比如針對file有19個(gè)操作許可：

ioctl read write create getattr setattr lock relablefrom relableto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint

 這兩個(gè)內(nèi)容在后面介紹常用語法的時(shí)候會(huì)涉及到。所以對于file的操作許可，我們可以看到基本上是對文件的操作方法，所以程序調(diào)用這些功能的時(shí)候，系統(tǒng)會(huì)檢查是否有一個(gè)TE規(guī)則，授予了該程序權(quán)限來使用該功能。

二、Android中的SELinux

2.1 開啟SELinux

首先必須先開啟SELinux功能，google提供了開啟該選項(xiàng)的開關(guān)。在BoardConfig.mk里面會(huì)定義如下變量：

BOARD_SEPOLICY_DIRS += build/target/board/generic/sepolicy

對應(yīng)路徑下面就會(huì)有很多TE文件來描述進(jìn)程對資源的訪問許可。

2.2 聲明類型

type 類型名稱 
type system_app;

2.3 關(guān)聯(lián)類型和屬性

有兩種方法可以將某個(gè)類型跟某個(gè)屬性關(guān)聯(lián)起來。

一，在聲明類型的時(shí)候就關(guān)聯(lián)已經(jīng)定義的屬性。

type system_app, domain;

這個(gè)就在定義system_app的時(shí)候就將它跟已經(jīng)定義的domain屬性關(guān)聯(lián)起來了。

typeattribute platform_app mlstrustedsubject;

如果已經(jīng)定義了類型platform_app，可以用typeattribute將它和已經(jīng)定義的mIstrustedsubject關(guān)聯(lián)起來。

注意：所有的屬性和類型都共用一個(gè)命名空間，所以命名的時(shí)候不要出現(xiàn)同名的屬性和類型哦。

三、訪問向量（AV）規(guī)則

AV用來描述主體對客體的訪問許可。通常有四類AV規(guī)則：

allow：表示允許主體對客體執(zhí)行許可的操作。

neverallow：表示不允許主體對客體執(zhí)行制定的操作。

auditallow： 表示允許操作并記錄訪問決策信息。

dontaudit：表示不記錄違反規(guī)則的決策信息，切違反規(guī)則不影響運(yùn)行

通用的類型規(guī)則語法位：

allow platform_app debugfs:file { read ioctl };

表示類別為platform_app的程序進(jìn)程，對debugfs類型的文件執(zhí)行read和ioctl操作。

四、一些特殊的配置文件：

external/sepolicy/attributes -> 所有定義的attributes都在這個(gè)文件 
external/sepolicy/access_vectors -> 對應(yīng)了每一個(gè)class可以被允許執(zhí)行的命令 
external/sepolicy/roles -> Android中只定義了一個(gè)role，名字就是r，將r和attribute domain關(guān)聯(lián)起來 
external/sepolicy/users -> 其實(shí)是將user與roles進(jìn)行了關(guān)聯(lián)，設(shè)置了user的安全級別，s0為最低級是默認(rèn)的級別，mls_systemHigh是最高的級別 
external/sepolicy/security_classes -> 指的是上文命令中的class，個(gè)人認(rèn)為這個(gè)class的內(nèi)容是指在android運(yùn)行過程中，程序或者系統(tǒng)可能用到的操作的模塊 
external/sepolicy/te_macros -> 系統(tǒng)定義的宏全在te_macros文件 
external/sepolicy/*.te -> 一些配置的文件，包含了各種運(yùn)行的規(guī)則

五、selinux有兩種工作模式

 “permissive”：所有操作都被允許（即沒有MAC），但是如果有違反權(quán)限的話，會(huì)記錄日志
“enforcing”：所有操作都會(huì)進(jìn)行權(quán)限檢查

六、其他

在te文件中經(jīng)常出現(xiàn)如下的函數(shù)：

unix_socket_connect(platform_app, agpsd, mtk_agpsd);

這個(gè)其實(shí)是一個(gè)宏。它定義在文件名為te_macros的文件里面，經(jīng)過全局搜索這個(gè)宏，發(fā)現(xiàn)如下定義：

 unix_socket_connect($1, qmuxd, qmux)
 allow qmux $1_qmuxd_socket:sock_file { getattr unlink };
 ')

其實(shí)也是一個(gè)allow訪問向量。

七、總結(jié)

在分析時(shí)時(shí)刻牢記，TE規(guī)則描述的是主體對客體訪問的許可。TE的最小單位是類型，這個(gè)概念抽象了主體和客體。每個(gè)主體對客體執(zhí)行某種許可，都需要有對應(yīng)的av規(guī)則描述，否則就會(huì)失敗。在實(shí)際項(xiàng)目過程中如果碰到相關(guān)的問題，可能就需要修改te文件，編輯相關(guān)的操作許可。

總結(jié)

以上所述是小編給大家介紹的Android中SELinux的TE，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

最新評論