NotePublic/Software/Development/OperatingSystem/Android/SELinux/Android_SELinux_详解.md

Android SELinux 详解

1.Kernel SELinux 模块

2.模式控制

SELinux 有三种工作模式：强制模式（enforcing）、宽容模式（permissive）和关闭模式（disabled）

• enforcing：代表 SELinux 运作中，且会执行实际的限制；
• permissive：代表 SELinux 运作中，但只会记录警告讯息并，不执行实际的限制；
• disabled：代表 SELinux 不会实际运作。

临时设置 SELinux 为 permissive 的方法如下：

adb root
adb shell setenforce 0

在 Android 系统下，可通过设置 Bootargs 来改变 SELinux 的工作模式，参数、取值范围及说明如下：

# 设置 SELinux 为强制模式
androidboot.selinux=enforcing
# 设置 SELinux 为宽容模式
androidboot.selinux=permissive
# 设置 SELinux 为关闭模式
androidboot.selinux=disabled

3.SEAndroid

SEAndroid 是在 Android 系统中基于 SELinux 推出的强制访问控制模型，来完善自主访问模型中只要取得 root 权限就可以为所欲为的情况。

SEAndroid 工作大致分为两部分：打标签和根据标签做权限控制

3.1.打标签

SeAndroid 会给所有的文件（包括进程贴上标签），这些标签称为 Security Context。我们可以通过 ls -Z 来查看文件的 Security Context 或者通过 ps -Z 来查看进程的 Security Context。

Security Context 由四部分组成，每一部分用冒号隔开，来看一个例子：

u:r:init:s0
u:object_r:rootfs:s0

• 第一部分 u 代表用户，在 SeAndroid 中只有一个用户，就是 u；
• 第二部分 r 或者 object_r 代表用户的角色，如果角色是 r 代表的是进程，如果角色是 object_r 代表的是文件；
• 第三部分 init 或者 rootfs 等，代表类型或者域，一般管文件的这部分叫类型，管进程的这部分叫域。不同的域拥有不同的权限；
• 第四部分 s0 代表安全等级，我们不用关注。

3.2.根据标签做权限控制

这一部分主要是编写 Policy 文件了，最常见的 Policy 就是 TE 文件，举个栗子：

allow netd proc:file write

简单说一下语法：

action domain type:object_class operation

• allow 是 TE 中定义的动作词，表示允许，类似的还有 neverallow 表示不允许；
• netd 表示域，就是进程所属的域，代表某一类进程；
• proc 表示 type，就是 file 的 type，表示一类文件；
• file 表示 object class，是 type 下的某一个具体类型，是具体给进程操作的东西，这些 object class 是操作系统预定义好的，在 security_class 文件中，每一个 object class 都用 class 关键字声明；
• write 表示操作，允许进行的操作也是系统定义好的，在 access_vector 文件中，每一种 object class 都对应一组操作，比如 common file {write read}，或者 class bind {read write}，其中 common 和 class 的区别是 common 可以被继承，而 class 定义的操作就是针对于某种 object class 的，不能被继承。

上面的 TE 语句的意思是：允许标签为 netd 的进程去向标签为 proc 的 file 写入数据。

接下来看一下如何定义 type 或者 domain，使用 type 关键字定义：

type type_name, attribute_name

attribute_name 表示 type 所属的属性组，一个 type 可以属于多个属性组。这样我们在编译 SeLinux 策略的时候通过对属性组编写，就可以应用到该属性组之下的所有 type 了。Android 系统定义的属性组一般都放在 attribute 文件中。

3.3.SeLinux 中用户和角色的定义

在 roles 文件下定义了角色，每一个角色都有不同的功能，所以每一个角色都和一个域相关联，比如：

role r types domain

就把 r 这个角色和名称为 domain 的这个域关联起来了。一个用户可以拥有多个角色：

user u roles {r}

这样就把用户 u 和角色 r 关联起来了。多个角色之间有层级关系，比如老板比总经理大，SeLinux 用 dominance 来表示，比如：

dominance{role 老板 {role 总经理;role 总监}}

这就表明老板比总经理和总监都大，从 type 来说就是老板会继承总经理和总监所关联的属性组。

3.4.基于角色的控制

在 SeAndroid 中定义的 u 和 r 是怎么做到基于角色的控制呢？ 使用 constrain 关键字，形式如下：

constrain object_class operation expression

比如

constrain file write (u1 == u2 and r1 == r2)

表示只有用户相同并且角色相同的时候，才允许对 file 这个 class 执行 write 操作。其中 expression 中可以使用的符号有 ==，!=，dom，domby（就是前面说的上下级关系）。

3.5.打标签以及 transition

这涉及到两个话题：一个是系统是如何给文件还有进程打标签的。另一个是我们知道进程是一个可执行文件的执行过程，系统可以给某个可执行文件打标签，但是当这个可执行文件运行起来变成进程的时候，这个进程的标签是怎么样的。另外，进程都可以 fork，那么一个进程 fork 出来的进程的标签是怎么样的？这就需要 transition 了。

给进程和文件打标签涉及到两个内核文件：initial_sids 和 initial_sid_context.

initial_sids 算是给我们的标签起别名，因为我们知道一个标签是由四部分组成的字符串，直接使用起来不方便，这个就是给标签起别名，举个例子：

sid security
sid init

然后 initial_sid_context 是把标签的别名和标签联系起来，举个例子：

sid security u:object_r:kernel:s0
sid init u:object_r:unlabeled:s0

接下来重点看一下 transition，使用 tryp_transition 关键字：

type_transition source_type target_type:object_class result_type

举个例子：

type_transition init_t apache_exec_t : process apache_t;

这句话是说当一个 type 为 init_t 的进程去执行一个 type 为 apache_exec_t 的文件时，生成的object_class 为 process，这个 process 的类型为 apache_t。这样当我们的 init 进程去执行 apache 文件的时候，生成的进程 type 就是 apache_t。

理想是美好的，但是要达到上述目的，还需要额外三条语句来配合：

# 允许 type 为 init_t 的进程去执行 type 为 apache_exec_t 的文件
allow init_t apache_exec_t : file execute;
# 允许 type 为init_t 的进程切换为 type 为 apache_t 的
allow init_t apache_t : process transition;
# 允许 type 为 apache_t 的进程由 type 为 apache_exec_t 的文件生成
allow apache_t apache_exec_t : file entrypoint;

由于这样使用起来很麻烦，所以 SeAndroid 在 te_macros 中定义了很多宏来帮助我们实现， 比如上面的四句就可以用以下一句宏来实现：

domain_auto_trans(init_t, apache_exec_t, apache_t)

SeAndroid中还有一个常见的宏就是给一个目录下的新建的文件打标签的宏，比如：

file_type_auto_trans(appdomain, download_file, download_file)

3.6.Android 系统预先给哪些文件打了标签

Android 预先打的标签在 XXX_context 文件中，比如：

/dev/binder u:object_r:binder_device:s0

给 /dev/binder 文件打的标签是 u:object_r:binder_device:s0

一般 XXX_context 文件都是与预置好的给某些文件或者目录打标签。

3.7.apk 以及其使用的 data 目录是如何被 SeAndroid 打标签的

在 PMS 启动的时候会去读取 mac_permissions.xml 文件，该文件中保留了签名和 seinfo 的对应关系，比如 platform 签名对应的 seinfo 是 platform，这个 seinfo 信息在安装 app 的时候会用到。

然后在安装 app 的时候，PMS 会根据 app 的签名，给该 app 赋予一个 seinfo。这个 seinfo 就是 Selinux 给这个 app 打标签时候的第三个参数：type。

在启动 app 的时候，PMS 会使用到 seapp_contexts 文件，这个文件定义了不同 seinfo 的 app 启动之后的domin，SeLinux 就是根据这个文件为 app 进程和其使用的 data 目录打标签。

4.TE 文件

在 Android 系统中，可在系统源码中，通过 TE 文件设置程序/文件的 SELinux 属性。

SELinux 分为文件属性和进程属性（运行属性），普通文件属性定义在 file_contexts 中：

# file_contexts
/(vendor|system/vendor)/bin/demo                            u:object_r:demo_exec:s0

可通过 ls -Z 查看谋文件的 SELinux 文件属性，通过 ps -Z 查看谋运行中程序的进程属性，属性分为 4 组，如：

u:r:init:s0

上述的 u 为 Android 的唯一 user（有待确认）；第二个参数 r 表示进程，object_r 表示文件；第三个参数是这个进程的 type，在 Android 里面，定义了 100 多个 type；第四个参数 s0 是一个安全等级。

以下是一个 TE 文件示例：

type demo, domain;
type demo_exec, exec_type, vendor_file_type, file_type;
init_daemon_domain(demo)

allow demo self:capability { sys_admin };
allow demo sysfs:file { create open read write };
allow demo device:dir { create open read write };

下面将对该文件的各部分进行讲解。

4.1.基本语法

在 TE 文件中，我们一般遇到的语法是这样的：

# rule_name   ：规则名称，除了有 allow 还有 dontaudit，auditallow 和 neverallow
# source_type ：源类型，主要作用是用来填写一个域(domain)
# target_type ：目标的类型，即安全上下文，SELinux 一个重要的判断对象
# class       ：类别，目标（客体）是哪种类别，主要有 File、Dir、Socket、SEAndroid 还有 Binder 等，在这些基础上又细分出设备字符类型（chr_file），链接文件（lnk_file）等。可以通过 ls -l 查看文件类型
# perm_set    ：动作集
rule_name source_type target_type:class perm_set

解读为：为 source_type 设置一个 rule_name 的规则，规则是对 target_type 的 class 进行 perm_set 的操作，如：

# 用中文来表述是：允许 factory 域里的进程或服务对类型为 ttyMT_device 的类别为文件（file）进行 open,read,write,ioctl 操作
allow factory ttyMT_device:chr_file { read write open ioctl};

TE 表达式基本上就是这样，下文将按顺序介绍 rule_name、source_type、target_type、class 和 perm_set。

4.2.rule_name

allow：允许某个进程执行某个动作。

auditallow：audit 含义就是记录某项操作。默认 SELinux 只记录那些权限检查失败的操作。 auditallow 则使得权限检查成功的操作也被记录。注意，allowaudit 只是允许记录，它和赋予权限没关系。赋予权限必须且只能使用 allow 语句。

dontaudit：对那些权限检查失败的操作不做记录。

neverallow：没有被 allow 到的动作默认就不允许执行的。neverallow 只是显式地写出某个动作不被允许，如果添加了该动作的 allow，则会编译错误。

4.3.source_type

与 source context 对应，指定一个“域”（domain），一般用于描述进程，该域内的的进程，受该条 TE 语句的限制。用 type 关键字，把一个自定义的域与原有的域相关联。

最简单地定义一个新域的方式为：

type shell, domain

上面这句话的意思是，将 domain 的全部属性赋予 shell。如果 domain 集合里有一个 allow domain xxxxx，那么 shell 将会继承它。

4.4.target_type

与 target context 对应，指定进程需要操作的客体（文件，文件夹等）类型（安全上下文），同样是用 type 与一些已有的类型，属性相关联

以上面的 ttyMT_device 为例：

# 定义一个类型，属于 dev_type 属性
type ttyMT_device, dev_type;
# 属性 dev_type 在 external/sepolicyattributes 的定义如下: attribute dev_type;
# 以上 attribute 关键字用于定义一个属性

type 可以与一个或多个属性关联，如

type usb_device, dev_type, mlstrustedobject;

另外，还有一个关键字 typeattribute，type 有两个作用，定义（声明）并关联某个属性。可以把这两个作用分开：用 type 进行定义；用 typeattribute 进行关联。示例如下：

# 定义 httpd_user_content_t，并关联两个属性
type httpd_user_content_t, file_type, httpdcontent;  
# 分成两条语句进行表述：
# 定义 httpd_user_content_t
type httpd_user_content_t;
# 关联属性
typeattribute httpd_user_content_t file_type, httpdcontent;

这些类型（安全上下文）会显示地与一个“文件”相关联，如：

file_contexts 里面显式定义了哪些文件属于 ttyMT_device 类型，即用 ls -Z 显示出来文件的安全上下文

/dev/ttyMT.* u:object_r:ttyMT_device:s0

虚拟文件系统的标识方式与普通的文件系统文件标识方式不一样，用 genfscon 来配置。

# genfscon 的语法是：
genfscon fs_type pathprefix [-file_type] context

例如，把 /proc/mtk_demo/demo_file 文件的安全上下文设置成 demo_context：

genfscon proc /mtk_demo/demo_file u:object_r:demo_context:s0

4.4.1.网络对象上下文

# 例1：定义端口的上下文
portcon tcp 80 system_u:object_r:http_port_t
portcon tcp 8080 system_u:object_r:http_port_t
# 例2：定义网络接口的上下文：
netifcon eth0 system_u:object_r:netif_eth0_t system_u:object_r:netmsg_eth0_t
# 例3：定义节点的上下文
nodecon 10.34.10.66 255.255.255.255 system_u:object_r:node_zeus_t;
nodecon 10.34.10.0 255.255.255.0 system_u:object_r:node_any_t

然后你会有一个疑问，这么多属性，这些属性有什么作用，这些属性会有一个地方显式地说明这个属性拥有什么权限，在 external/sepolicy/domain 里就有非常详细的描述。另个在 external/sepolicy/attributes 里定义了很多属性，下面截取了一些常见的定义。

# All types used for devices.
attribute dev_type;
# All types used for processes.
attribute domain;
# All types used for filesystems.
attribute fs_type;
# All types used for files that can exist on a labeled fs.
# Do not use for pseudo file types.
attribute file_type;
# All types used for domain entry points.
attribute exec_type;
# All types used for property service
attribute property_type;
# All service_manager types created by system_server
attribute system_server_service;
# All domains that can override MLS restrictions.
# i.e. processes that can read up and write down.
attribute mlstrustedsubject;
# All types that can override MLS restrictions.
# i.e. files that can be read by lower and written by higher
attribute mlstrustedobject;
# All domains used for apps.
attribute appdomain;
# All domains used for apps with network access.
attribute netdomain;
# All domains used for binder service domains.
attribute binderservicedomain;

4.5.class

客体的具体类别。用 class 来定义一个客体类别，具体定义方式如下：

# [external/sepolicy/security_classes示例]
# file-related classes
class filesystem
class file      # 代表普通文件
class dir       # 代表目录
class fd        # 代表文件描述符
class lnk_file  # 代表链接文件
class chr_file  # 代表字符设备文件
......
# network-related classes
class socket    # socket
class tcp_socket
class udp_socket
......
class binder    # Android 平台特有的 binder
class zygote    # Android 平台特有的 zygote

4.6.perm_set

具体的操作，系统的定义在 external/sepolicy/access_vectors。有两种定义方法。

用 common 命令定义：

# 格式为：
common common_name { permission_name ... }
# common 定义的 perm set 能被另外一种 perm set 命令 class 所继承
# 如：
common file {
      ioctl read write create getattr setattr lock relabelfrom relabelto
      append unlink link rename execute swapon quotaon mounton }

用 class 命令定义：

class class_name [ inherits common_name ] { permission_name ... }
# inherits 表示继承了某个 common 定义的权限  
# 注意，class 命令它不能被其他 class 继承
# 继承一个 common，如继承了 file common

class dir
inherits file
{
    add_name
    remove_name
    reparent
    search
    rmdir
    open
    audit_access
    execmod
}
# 不继承任何 common，如
class binder
{
    impersonate
    call
    set_context_mgr
    transfer
}

然后是一些特殊的配置文件：

# 所有定义的 attributes 都在这个文件
external/sepolicy/attributes
# 对应了每一个 class 可以被允许执行的命令
external/sepolicy/access_vectors
# Android 中只定义了一个 role，名字就是 r，将 r 和 attribute domain 关联起来
external/sepolicy/roles
# 其实是将 user 与 roles 进行了关联，设置了 user 的安全级别，s0 为最低级是默认的级别，mls_systemHigh 是最高的级别
external/sepolicy/users
# 指的是上文命令中的 class，个人认为这个 class 的内容是指在 android 运行过程中，程序或者系统可能用到的操作的模块
external/sepolicy/security_classes
# 系统定义的宏全在 te_macros 文件
external/sepolicy/te_macros
# 一些配置的文件，包含了各种运行的规则
external/sepolicy/***.te

4.7.TE 的正则表达式和集合

TE 文件支持正则表达式，从下面可以看到，通配符是常用的通配符，可以度娘

/sys/devices/system/cpu(/.*)?    u:object_r:sysfs_devices_system_cpu:s0
/sys/power/wake_lock -- u:object_r:sysfs_wake_lock:s0
/sys/power/wake_unlock -- u:object_r:sysfs_wake_lock:s0
/sys/kernel/uevent_helper --    u:object_r:usermodehelper:s0
/sys/module/lowmemorykiller(/.*)? -- u:object_r:sysfs_lowmemorykiller:s0
#############################
# asec containers
/mnt/asec(/.*)?             u:object_r:asec_apk_file:s0
/mnt/asec/[^/]+/[^/]+\.zip  u:object_r:asec_public_file:s0

需要注意的是上面的"--"，这里的“--”表示二进制文件，类似的还有

#‘-b’ - Block Device ‘-c’ - Character Device
#‘-d’ - Directory ‘-p’ - Named Pipe
#‘-l’ - Symbolic Link ‘-s’ - Socket
#‘--’ - Ordinary file

TE 表达式里可以用“{}”来表示一个集合，如：

# 允许user_t对bin_t类型的文件和文件夹执行read,getattr操作
allow user_t bin_t : { file dir } { read getattr };
# 允许domain对exec_type,sbin_t类型的文件执行execute的动作
allow domain { exec_type sbin_t } : file execute;

可以在集合里使用“*”，“-” 和 “~” 三个通配符

# 允许user_t对bin_t类型的文件和文件夹执行所有操作
allow user_t bin_t : { file dir } *;
# 允许user_t对bin_t类型的文件和文件夹执行除了read,getattr以外的所有操作
allow user_t bin_t : { file dir } ~{ read getattr };
# 允许domain对exec_type类型的文件执行execute的动作，除了sbin_t以外
allow domain { exec_type -sbin_t } : file execute;

4.8.TE 的类型转换规则

为什么要转换类型？

init 进程拥有系统的最高权限，如果由 Init 进程 fork，exec 出来的进程默认是与 init 相同的权限，这肯定是不安全的。另一个场景是，由 init 生成的文件，默认也是 init 的读写权限，不方便其他低权限的文件进行访问。

类型转换有两种类型转换：

1. 主体的域的转换
2. 客体的转换

4.8.1.域的转换

type_transition 的完整格式为：

type_transition source_type target_type : class default_type;

举个例子

type_transition init_t apache_exec_t : process apache_t;

init_t 进程执行 type 为 apache_exec_t 的可执行文件时，新的进程转换到 apache_t 域

但是上面只是告诉了转换的过程，却没有说明，有转换的权限，如果要上面的转换成功，还需要下面的语句：

# 首先，你得让 init_t 域中的进程能够执行 type 为 apache_exec_t 的文件
allow init_t apache_exec_t : file execute;
# 然后，你还得告诉 SELiux，允许 init_t 做 DT 切换以进入 apache_t 域
allow init_t apache_t : process transition;
# 最后，你还得告诉 SELinux，切换入口（对应为 entrypoint 权限）为执行 apache_exec_t 类型的文件
allow apache_t apache_exec_t : file entrypoint;

4.8.2.客体的转换

例子：

type_transition passwd_t tmp_t : file passwd_tmp_t;

passwd_t 在 tmp_t 目录下创建文件时，该文件的类型转化为 passwd_tmp_t。这里默认隐含了一个 tmp_t 类型 dir，因为 file 的容器只能是个 dir。同样的，如果要上面的语句运行成功，与需要有相应的权限说明。

对应的必须有两个前提条件:

• The source domain needs permission to add file entries into the directory(这个 process 必须有在这个目录下添加文件的权限).
• The source domain needs permission to create file entries(这个 process 必须有在这个目录下创建以这个 Security Context 为 Label 的文件权限).

如果每个转换之前都需要这样繁锁地权限声音实在很麻烦。TE里允许把这些相同的，重复使用的语句定义成一个宏，类似于函数一样。

4.9.TE 宏

如果把上面 domain 转换的例子定义成一个宏，应该定义如下：

# 定义 domain_auto_trans 宏，$1,$2 等等代表宏的第一个，第二个....参数
define('domain_auto_trans', '
    # 先 allow 相关权限, domain_trans 宏定义在后面
    domain_trans($1,$2,$3)
    # 然后设置 type_transition
    type_transition $1 $2:process $3;
')
# 定义 domain_trans 宏
define('domain_trans', '
    # SEAndroid 在上述三个最小权限上，还添加了自己的一些权限
    allow $1 $2:file { getattr open read execute };
    allow $1 $3:process transition;
    allow $3 $2:file { entrypoint read execute };
    allow $3 $1:process sigchld;
    dontaudit $1 $3:process noatsecure;
    allow $1 $3:process { siginh rlimitinh };
')

上面的宏定义在 external/sepolicy/te_macros 里。客体的转换定义如下：

#####################################
# file_type_auto_trans(domain, dir_type, file_type)
# Automatically label new files with file_type when
# they are created by domain in directories labeled dir_type.
#
define('file_type_auto_trans', '
# Allow the necessary permissions.
file_type_trans($1, $2, $3)
# Make the transition occur by default.
type_transition $1 $2:dir $3;
type_transition $1 $2:notdevfile_class_set $3;
')

define('file_type_trans', '
# Allow the domain to add entries to the directory.
allow $1 $2:dir ra_dir_perms;
# Allow the domain to create the file.
allow $1 $3:notdevfile_class_set create_file_perms;
allow $1 $3:dir create_dir_perms;
')

TE 的集合也可以定义成一个宏代替，如读写文件操作集的宏：

define('x_file_perms', '{ getattr execute execute_no_trans }')
define('r_file_perms', '{ getattr open read ioctl lock }')
define('w_file_perms', '{ open append write }')
define('rx_file_perms', '{ r_file_perms x_file_perms }')
define('ra_file_perms', '{ r_file_perms append }')
define('rw_file_perms', '{ r_file_perms w_file_perms }')
define('rwx_file_perms', '{ rw_file_perms x_file_perms }')
define('create_file_perms', '{ create rename setattr unlink rw_file_perms }')

使用方式是：

allow demo demo_device:chr_file rw_file_perms;