浅谈SEAndroid安全机制及应用方法

浅谈SEAndroid安全机制及应用方法

吐槽：准备学习一下SELinux/SEAndroid手里有一本书《深入理解Android内核设计思想》，看完章节“我是谁？我在哪？”能理解四层的意思，我发现另外的六层都是给会的人写的，头大难搞。趁着假期查资料看博客，一点一点修补本文章，有理解偏差或理解不到位的地方望大佬们纠正。

内容提纲：

➢SEAndroid/SELinux简介

➢SEAndroid/SELinux框架

➢SELinux Policy介绍

➢安全策略文件(TE文件)

➢SELinux安全问题分析

​ ----➢SELinux设备文件权限解决办法

​ ----➢SELinux服务权限解决办法

​ ----➢SELinux可执行权限解决办法

➢补充

​ ----➢客体类型添加

一.SEAndroid/SELinux简介

SELinux呢这里就不展开讲述了，直接进行SEAndroid机制。前段时间u盘插上板子，作者利用串口交互，以root用户想要删除U盘里的内容，就会报错误权限不足，这就得益于SEAndroid对设备的全面保护。
​ SEAndroid是Google在nlet 4.4 上正式推出的一套以SELinux为基础于核的系统安全机制。而SELinux则是由美国NSA (国安局)和一些公司( RedHat、Tresys )设计的一 个针对 的安全加强系统。NSA最初设计的安全模型叫FLASK ,全称为Flux Advanced Security Kernel (由Uta大学和美国国防部开发，后来由NSA将其开源) , 当时这套模型针对DTOS系统。后来, NSA觉得Linux更具发展和普及前景,所以就在Linux系统上重新实现了FLASK，称之为SELinux。

​ 两种安全机制DAC(Discretionary Access Control)和MAC(Mandatory Access Control)。通俗地讲，这两个机制的区别是。在DAC里，如果个应用获取了一个用户权限，如Root，那他的所有操作操作都是基于这个用户权限。而MAC就简单霸道好多，无论你是谁，甚至是有Root用户权限，文件权限为777，但每个动作都是需要被允许之后可以被执行。这里可以是在安全策略文件中被允许也可以是用户手动允许 。

二.SEAndroid/SELinux框架

用户看到的：服务权限、文件权限、属性权限、APP权限。

SELinux最终编译成libselinux.so文件，为上层提供服务。

三.SELinux Policy介绍

​ SELinux两个最基本的对象是主体( Subject )和客体(Object )。主体和客体分别对应的是"进程”和“文件”。这里的文件并不单指的是实际存在的文件,而是指Linux里"一 切皆文件”里指的文件。如Socket ，系统属性等。

​ 在SEAndroid中对主体和客体进行了进一步形式上的封装和扩展，其实差不多。SEAndroid里细分为 :系统文件,服务,系统属性，Binder和Socket.这里的系统属性指的是build.prop里的属性,也是getprop命令查询出来的属性。

1.ps - Z可以查看当前进程（主体）安全上下文。

root@rk3288:/ # ps -Z                                                          
LABEL                          USER      PID   PPID  NAME
u:r:init:s0                    root      1     0     /init
u:r:kernel:s0                  root      2     0     kthreadd
u:r:kernel:s0                  root      3     2     ksoftirqd/0
u:r:kernel:s0                  root      5     2     kworker/0:0H
u:r:kernel:s0                  root      7     2     migration/0
u:r:kernel:s0                  root      8     2     rcu_preempt
u:r:kernel:s0                  root      9     2     rcu_bh
u:r:kernel:s0                  root      10    2     rcu_sched
u:r:kernel:s0                  root      11    2     watchdog/0
u:r:kernel:s0                  root      12    2     watchdog/1
u:r:kernel:s0                  root      13    2     migration/1
u:r:kernel:s0                  root      14    2     ksoftirqd/1
u:r:kernel:s0                  root      16    2     kworker/1:0H
u:r:kernel:s0                  root      17    2     watchdog/2
u:r:kernel:s0                  root      18    2     migration/2
u:r:kernel:s0                  root      19    2     ksoftirqd/2
u:r:kernel:s0                  root      21    2     kworker/2:0H
u:r:kernel:s0                  root      22    2     watchdog/3
u:r:kernel:s0                  root      23    2     migration/3
u:r:kernel:s0                  root      24    2     ksoftirqd/3
u:r:kernel:s0                  root      26    2     kworker/3:0H
u:r:kernel:s0                  root      27    2     khelper
u:r:kernel:s0                  root      28    2     kdevtmpfs

左边的一列是Security Context。u:r:init:s0的意思是：

• u，是指user，它代表SELinux的一个用户。

• r，为role（角色）即Role Based Access（基于角色的访问控制，简称为RBAC），它是SELinux中比较高层次。简单点说，一个u可以属于多个role，不同的role具有不同的权限。

• init/kernel，代表该进程所属的Domain（域）。

• s0，SELinux为了满足军用和教育行业而设计的MultiLevel Security（MLS）机制。简单点说，MLS将系统的进程和文件进行了分级，不同级别的资源需要对应的级别的进程才能进行访问。

2.ls - Z可以查看当前文件（客体）安全上下文。

root@rk3288:/ # ls -Z                                                          
drwxr-xr-x root     root              u:object_r:cgroup:s0 acct
drwxrwxrwx root     root              u:object_r:rootfs:s0 bin
drwxrwx--- system   cache             u:object_r:cache_file:s0 cache
lrwxrwxrwx root     root              u:object_r:rootfs:s0 charger -> /sbin/healthd
dr-x------ root     root              u:object_r:rootfs:s0 config
lrwxrwxrwx root     root              u:object_r:rootfs:s0 d -> /sys/kernel/debug
drwxrwx--x system   system            u:object_r:system_data_file:s0 data
-rw-r--r-- root     root              u:object_r:rootfs:s0 default.prop
drwxr-xr-x root     root              u:object_r:device:s0 dev
drwx------ root     root              u:object_r:rootfs:s0 dmb
-rw-r--r-- root     root              u:object_r:rootfs:s0 drmboot.ko
drwxrwxrwx root     root              u:object_r:rootfs:s0 env_flag
lrwxrwxrwx root     root              u:object_r:rootfs:s0 etc -> /system/etc
-rw-r--r-- root     root              u:object_r:rootfs:s0 file_contexts
lrwxrwxrwx root     root              u:object_r:rootfs:s0 fstab.rk30board -> /fstab.rk30board.bootmode.emmc
-rw-r----- root     root              u:object_r:rootfs:s0 fstab.rk30board.bootmode.emmc
-rw-r----- root     root              u:object_r:rootfs:s0 fstab.rk30board.bootmode.unknown
drwxrwxrwx root     root              u:object_r:rootfs:s0 home
-rwxr-x--- root     root              u:object_r:init_exec:s0 init
-rwxr-x--- root     root              u:object_r:rootfs:s0 init.connectivity.rc
-rwxr-x--- root     root              u:object_r:rootfs:s0 init.environ.rc
-rwxr-x--- root     root              u:object_r:rootfs:s0 init.rc
-rw-r--r-- root     root              u:object_r:rootfs:s0 张志路-root.txt

• u，是user的意思，表示创建这个文件的SELinux user。
• object_r，这个标志位在文件里代表一个用户角色（role），不同的role具有不同的权限。
• 这是一个type的标志位，也是TE里最重要的一个标志位。不然怎么怎么称为TE（Type Enforcement）；它表示root目录对应的Type的rootfs。
• s0，MLS的级别。

在这里细心的朋友就会注意到：“之前我们Linux的label不是UID/GID吗？怎么变成了user:role:type:security了呢？”没错这都是SEAndroid替换的，注意我说的是‘替换’。SEAndroid呢，主要通过label中的Type来定义安全策略的（这就是Type Enforment）这就是我们.te文件的由来。

读到这里你可能就要问了，上面分析的这些信息在哪里被设置定义的呢？这些信息都在xxx_contexts文件中被登记在案的，前提是要先type定义客体，这个下面还会讨论。

• file_contexts
  即包括编译过程中文件的安全标签，也用于在运行时态对设备节点、socket端口、init.rc产生的/data目录进行安全标签的规划。当你创建新的安全策略时，在某些情况下需要更新这个文件夹分配新的标签。而为了让新标签生效，这里就要重新编译image或者执行restorecon命令。
• genfs_contexts
• 这个文件用于为不支持扩展属性的文件系统（列如proc和vfat）添加标签。这个配置将作为核心策略的一部分被加载。
• property_contexts
  这个文件用于定制Android系统各属性的标签，以确认哪些进程可以设置他们。它将在系统启动时的init进程中被加载，或者是当selinux.reload_policy被置为1时被重新加载。
• seapp_contexts
  这个文件用于为APP进程和/data/data文件夹指定标签。系统将在三个时机读取seapp_contexts文件：1.当一个APP被zygote进程孵化时；2.当installd在启动时；3.当selinux.reload_policy属性被置为1时。

四.安全策略文件(TE文件)

1.介绍

MAC的安全策略文件学名是TEAC（Type Enforcement Access Control）。简称TE。里面的语言被称为强制类型语言。

在Android源码中对应的TE文件所在的路径为Android源码/external/sepolicy/

2.语法

​ 在SELinux当中，所有访问都必须明确授权，SEL inx默认不允许任何访问，完全不考虑当前UG0结构，即不考虑用户/组ID是什么。这也就意味着，在这里没有超级用户了。那么如果主体需要对客体进行访问该如何进行呢?

在SELinux当中，通常是使用allow规则来指定主体类型(即域)对客体类型授子访问权限，也就是allow规则规定了哪些类型的进程可以访问哪些客体。allow规则由四部分组成:

/*     主体           客体            */
allow domains types:classes permissons

• domains，原类型(Source type (s) )主体类型， 即域。用于单一进程或一系列进程。
• types，目标类型(Target type(s)) 客体类型。用于标识客体（文件、Socket等）或一系列客体。
• classes，客体类别(Object class (es) )客体的类别。被访问的客体（文件、Socket等）的具体种类。
• permissons，许可(Permission (s) )主体可以对客体执行哪些操作（读、写等）我们称之为访问向量。

3.两种模式

SELinux Mode，SELinux Mode 有两种模式Permissve Mode（宽容模式）和Enforcing Mode（强制模式）。区别在于宽容模式只会打印SELinux Log。而强制模式会进行真正拦截。如果被拦截，kernel log中的关键字“avc：denied“。可以通过cat /sys/fs/selinux/enforc命令进行查看权限。

setenforce命令：

• setenforce 0 关闭权限。
• setenforce 1 打开权限。

五.SELinux安全问题分析

大致流程：

1.用type关键字定义客体。（这里就发挥一下我的联想类比能力。就好比出生去type一张身份证）

2.将定义的客体放到【file_contexts】或者【service_contexts】文件中，告诉系统你的客体。（就好像结婚登记）

3.用allow关键字添加说明主体访问客体的权限。（就好像修订自己家规家法）

log内容分析：

	avc:denied{
     connectto}  for  pid=2671  comm="ping"  
path="/dev/socket/dnsproxyd"
	scontext=u:r:shell:s0  tcontext=u:r:netd:s0   tclass=unix_stream_socket

• {connectto}，代表的是发生的行为。整个句子表示有人尝试去链接一个unix stream socket。
• scontext，代表的是发生上述行为的主体的具体环境。在这个例子中就是某个以shell运行的程序。
• tcontext，代表的是客体的具体环境。在这个例子中就是一个unix_stream_socket的所有者netd。
• comm，comm="ping"表示的是当denial发生时究竟执行了什么语句。

1.SELinux设备文件权限解决办法

		[53692.570392] type=1400 audit(12565266.940:42): avc: denied 
		{
      read write } for pid=10794 comm="m.example.hello" name="led1" 
		dev="tmpfs" ino=39430 scontext=u:r:untrusted_app:s0 
		tcontext=u:object_r:device:s0 tclass=chr_file permissive=0

分析：

• 缺少什么权限： read write
• 谁缺少权限： scontext=u:r:untrusted_app:s0 untrusted_app
• 对那个文件缺少权限：tcontext=u:object_r:device:s0 device
• 什么类型的文件： tclass=chr_file chr_file

解决办法：在untrusted_app.te文件中添加

Allow untrusted_app device:chr_file {
     read write }

把缺少的权限添加上去，添加的过程如下：

先进去Android源码下的/external/sepolicy/下

①修改file_contexts
/dev/led1 u:object_r:led1_device:s0

②修改device.te
type led1_device, dev_type(, mlstrustedobject); (括号内为6.0权限)

③修改untrusted_app.te
allow untrusted_app led1_device:chr_file rw_file_perms;

添加好了之后重新编译Android的源码，烧写system.img和boot.img

2.SELinux服务权限解决办法

		131 E SELinux : avc:  denied  {
      add } for service=Hello 
		scontext=u:r:system_server:s0 tcontext=u:object_r:default_android_service:s0
		tclass=service_manager

分析：

• 缺少什么权限： { add }权限，
• 谁缺少权限： system_server
• 对哪个文件缺少权限：default_android_service
• 什么类型的文件： tclass=service_manager

解决方法：在system_server.te中添加

allow system_server default_android_service:service_manager add;		

先进去Android源码下的/external/sepolicy/下

①在service.te文件中添加

​ type Hello_service, (app_api_service,)service_manager_type; (括号内为6.0权限)

②在service_contexts文件中添加
Hello u:object_r:Hello_service:s0

③在system_server.te文件中添加
allow system_server Hello_service: service_manager add;

3.SELinux可执行权限解决办法

			12-25 11:51:27.260   147   147 W init    : type=1400 
		audit(0.0:4): avc: denied {
     execute_no_trans } for 
		path="/system/bin/test" dev="nandd" ino=476 
		scontext=u:r:init:s0 tcontext=u:object_r:system_file:s0 
		tclass=file permissive=0

分析：

• 缺少什么权限： execute_no_trans
• 谁缺少权限： init
• 对哪个文件缺少权限： system_file
• 什么类型的文件： file

解决方法：在init.te中添加

allow init system_file:file execute_no_trans;

先进去Android源码下的/external/sepolicy/下

①新建test.te文件中添加

type test,domain;

type test_exec,exec_type,file_type;

init_daemon_domain(test)

②在file_contexts文件中添加
/system/bin/test u:object_r:test_exec:s0

③在init.te文件中添加
allow test system_file:file execute_no_trans;

添加好了之后重新编译Android的源码，烧写system.img和boot.img

六.补充

1.客体类型添加

​ 根据我们上面讲的TE文件语法那一小节，了解到allow语句。注意allow语句是主体访问客体缺少权限，allow语句添加权限信息。

但是系统并不认识我们写的客体，这时，我们就需要用type 语句定义一下我们的客体（客体类型添加），让系统认识一下。
这里我们先看一小段init.te的内容：

类型声明语法：

• type 类型名称 [alias 别名集] [属性集]，属性集:设备属性集dev_type,服务属性集service_manager_type;
• 别名集如果有多个别名，可在一对大括号中用空
  格将各个别名区别开来，如: alias {aliasa_t aliasb_t}。
• 属性集如果同时指定多个属性标识符，属性之间使用逗号进行分隔，如:bin_ type, file_ type, exec_ type;

2.在Android系统中定义自己的SEAndroid

Android系统是允许设备厂商定制自己的安全策略的。先留个尾巴，后续再写。