linux通过UID/GID机制对权限进行管理,将文件的权限划分为读、写和执行三种,分别用字母r、w和x表示。每一个文件有三组读、写和执行权限,分别是针对“文件的所有者”、“文件所有者所属的组”以及其它用户。
在linux系统中,我们想完全操作某个文件,只需要执行sudo chmod 777 filename 即可。这表示root用户拥有无限大的权限,可以操作系统中的任何文件。
所以在安卓系统中,引入了SELinux用以提升系统安全性。
一、常用命令
SELinux模式有三种,Enforcing强制模式、Permissive宽容模式与Disabled完全禁用。
区别是Enforcing强制模式中,SELinux是起作用,而Permissive宽容模式SELinux不起作用,仅输出权限拒绝日志。
查看SELinux模式命令:getenforce
更改SELinux模式命令:setenforce 1 设置为Enforcing
setenforce 0 设置为Permissive
安卓中快速编译sepolicy并验证,需要本地代码整编过一次,已经生成out目录之后。(这里我遇到一个问题,这样编过几次之后,再去整编的时候就会报image out of space的错误,暂时不知道原因。)
$ mmma system/sepolicy/
$ adb push out/target/product/xxx/system/etc/selinux /system/etc/selinux
$ adb push out/target/product/xxx/vendor/etc/selinux /vendor/etc/selinux
也可单编systemimage,并刷机
$ make systemimage
$ adb reboot bootloader
$ fastboot flash system ./system.img
$ fastboot reboot
二、SELinux基本概念
1、如何配置SEpolicy
在分析安卓系统问题看日志时,会有同学好奇以下日志的含义:
05-25 18:51:22.421 7419 7419 W logcat : type=1400 audit(0.0:1319):
avc: denied { write } for name="syslog"
dev="mmcblk0p87" ino=31476 scontext=u:r:logpersist:s0
tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0
这是linux的审计信息,简单的来说该日志可以理解为:logpersist想要访问system_data_file的dir目录,缺少了write写权限。
这是因为SELinux权限限制了,通过配置sepolicy即可通过。
如果想要简单配置sepolicy权限,则需要在logpersist.te文件下,设置以下allow:
allow logpersist system_data_file:dir write;
但当加上“allow”语句之后,编译会报错,这是因为谷歌设置了neverallow,不允许我们针对“logpersist”与“system_data_file”添加allow语句。
为了解决这一问题,更加详细的了解一下SELinux。
2、了解
SEAndroid安全机制中的安全策略就是在“安全上下文”的基础上进行描述的, 它通过主体和客体的安全上下文,定义主体是否有权限访问客体。
以上述日志举例,主体 scontext就是u:r:logpersist:s0,客体tcontext是u:object_r:system_data_file:s0。该错误日志表示主体没有对客体的write权限,其中tclass=dir表示客体的类型为文件夹。
- Domain:u:r:logpersist:s0是一个“域”,它是一个进程或一组进程的标签。
- Type:u:object_r:system_data_file:s0是一个“对象标签”,它是一个对象或一组对象的标签。
- Class:dir 是客体的类型。(dir是文件夹,file是文件...)
- Permission:write 是缺少的权限。
以下语句表示,允许“logpersist进程”对所属“system_data_file”的文件件类型为文件夹“dir”进行“write”操作。
allow logpersist system_data_file:dir write;
3、安全上下文
安全上下文由“SELinux用户”、“SELinux角色”、“类型”、“安全级别” 四部分组成,格式为“user:role:type:sensitivity”。
进程的安全上下文:用户固定为 u,角色固定为 r。如:u:r:logpersist:s0
文件的安全上下文:用户固定为 u,角色固定为 obejct_r。如:u:object_r:system_data_file:s0
安全级别:可以选择启用或者不启用,通常在进程及文件的安全上下文中安全级别都设置为s0。
进程的安全上下文的类型称为Domain,文件的安全上下文中的类型称为Type。
三、如何应对neverallow
在system/sepolicy/private/logpersist.te与system/sepolicy/prebuilts/api/29.0/private/logpersist.te中配置以下allow语句并编译,会报neverallow的错。
allow logpersist system_data_file:dir write;
这表示谷歌不允许我们使用allow语句,解除限制的最暴力方法就是将报错处的neverallow语句删掉,这样确实可行,但是会过不了cts。
由于我们要访问的目录path为/data/syslog,将该目录定义成自己的Type
可以自定义Type,如下:
在file.te中自定义一个type为file_type,data_file_type,core_data_file_type:(应该只需要定义为file_type即可,我没有测试:)
type log_data_file, file_type, data_file_type, core_data_file_type;
在file_contexts中定义安全上下文:
/data/syslog(/.*)? u:object_r:log_data_file:s0
将allow语句改为:
allow logpersist log_data_file to write;
然后在logpersist.te中单独将自定义的log_data_file减去即可。(这里最好的是自定义一个service代替logpersist,那就要新建一个te文件了,比较麻烦)
neverallow logpersist {
file_type
userdebug_or_eng(`-misc_logd_file -coredump_file')
with_native_coverage(`-method_trace_data_file')
-log_data_file
}:file { create write append };
四:参考文献
1:https://blog.csdn.net/weixin_42082222/article/details/85239018
2:https://blog.csdn.net/ch853199769/article/details/82498725
3:https://blog.csdn.net/weixin_42082222/article/details/85239018
