android之SELinux小记
什么是SELinux
SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。
SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。
SELinux目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。
在目前的大多数发行版中,已经默认在内核集成了SELinux。
举例来说,系统上的 Apache 被发现存在一个漏洞,使得某远程用户可以访问系统上的敏感文件(比如 /etc/passwd 来获得系统已存在用户) ,而修复该安全漏洞的 Apache 更新补丁尚未释出。此时 SELinux 可以起到弥补该漏洞的缓和方案。因为 /etc/passwd 不具有 Apache 的 访问标签,所以 Apache 对于 /etc/passwd 的访问会被 SELinux 阻止。
优势
相比其他强制性访问控制系统,SELinux 有如下优势:
- 控制策略是可查询而非程序不可见的。
- 可以热更改策略而无需重启或者停止服务。
- 可以从进程初始化、继承和程序执行三个方面通过策略进行控制。
- 控制范围覆盖文件系统、目录、文件、文件启动描述符、端口、消息接口和网络接口。
SELinux for Android
SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Android分为宽容模式(仅记录但不强制执行 SELinux 安全政策 )和强制模式(强制执行并记录安全政策。如果失败,则显示为 EPERM 错误。 );在选择强制执行级别时只能二择其一。
您的选择将决定您的政策是采取操作,还是仅允许您收集潜在的失败事件。宽容模式在实现过程中尤其有用。
宽容模式 DAC (Discretionary Access Control,自主访问控制)
DAC是传统的Linux的访问控制方式,DAC可以对文件、文件夹、共享资源等进行访问控制。
在DAC这种模型中,文件客体的所有者(或者管理员)负责管理访问控制。
DAC使用了ACL(Access Control List,访问控制列表)来给非管理者用户提供不同的权限,而root用户对文件系统有完全自由的控制权。
强制模式 MAC (Mandatory Access Control,强制访问控制)
MAC是任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。
凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
这个机制相当于一个白名单,这个白名单上配置了所有进程的权限,进程只能做白名单上权限内的事情,一旦它想做一个不属于它权限的操作就会被拒绝。
这就需要使用到配置文件和其对应的te语法。
te基本语法
rule_name source_type target_type:class perm_set语法解析:
语法 | 含义 |
|---|---|
source_type | 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型 |
target_type | 一个对象(例如,文件、套接字)或一组对象的标签 |
Class | 要访问的对象(例如,文件、套接字)的类型 |
perm_set | 要执行的操作(例如,读取、写入) |
rule_name命令
rule_name命令 | 含义 |
|---|---|
allow | 允许某个进程执行某个动作 |
auditallow | audit含义就是记录某项操作。默认SELinux只记录那些权限检查失败的操作。 auditallow则使得权限检查成功的操作也被记录。注意,allowaudit只是允许记录,它和赋予权限没关系。赋予权限必须且只能使用allow语句 |
dontaudit | 对那些权限检查失败的操作不做记录 |
neverallow | 没有被allow到的动作默认就不允许执行的。neverallow只是显式地写出某个动作不被允许,如果添加了该动作的allow,则会编译错误 |
source_type命令
指定一个“域”(domain),一般用于描述进程,该域内的的进程,受该条TE语句的限制。
用type关键字,把一个自定义的域与原有的域相关联,最简单地定义一个新域的方式为:
type shell, domain意思为赋予shell给domain属性,同时,shell与属于domain这个集合里。
例如:有一个allow domain xxxxx 的语句,同样地也给了shell xxxxx的属性。
target_type命令
进程需要操作的客体(文件,文件夹等)类型(安全上下文),同样是用type与一些已有的类型,属性相关联。
type有两个作用,定义(声明)并关联某个属性。
可以把这两个作用分开,type定义,typeattribute进行关联。
Class命令
class定义在文件system/sepolicy/private/security_classes中.
perm_set命令
定义在system/sepolicy/private/access_vectors。有两种定义方法。
- 用common命令定义:
- 用class命令定义:
SecurityContext语法
SELinux中,每种东西都会被赋予一个安全属性,它就是SecurityContext(Security Context以下简称SContext,安全上下文或安全属性)是一个字符串,主要由三部分组成。
例如在 SELinux for Android中,进程的SContext可以通过PS-Z命令查看,如下:
$ ps -Z
LABEL USER PID PPID NAME
u:r:init:s0 root 1 0 /init
u:r:kernel:s0 root 2 0 kthreadd
u:r:kernel:s0 root 258 2 irq/322-HPH_R O
u:r:logd:s0 logd 259 1 /system/bin/logd
u:r:healthd:s0 root 260 1 /sbin/healthd
u:r:lmkd:s0 root 261 1 /system/bin/lmkd
u:r:servicemanager:s0 system 262 1 /system/bin/servicemanager
u:r:vold:s0 root 263 1 /system/bin/vold 其中:
语法 | 含义 |
|---|---|
u | user:SEAndroid中定义了一个SELinux用户,值为u |
r | role:role:角色,它是SELinux中一种比较高层次,更方便的权限管理思路,即RoleBased Access Control(基于角色的访问控制,简称RBAC)。简单点说,一个user可以属于多个role,不同的role具有不同的权限。 |
init | init域(Doamin)。MAC的基础管理思路是所谓的TypeEnforcement Access Control(简称TEAC,一般用TE表示)。对进程来说Type就是Domain,比如init这个Domain有什么权限,都需要在策略文件(init.te)中定义。 |
s0 | SELinux为了满足军用和教育行业而设计的Multi-LevelSecurity(MLS)机制有关。简单点说,MLS将系统的进程和文件进行了分级,不同级别的资源需要对应级别的进程才能访问。 |
SELINUX相关的代码目录
1. kernel/msm-3.18/security/selinux/ 2. external/selinux/ 3. 用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device/<oem_name>/sepolicy/<product_name>/和system/sepolicy/,以及其他功能模块添加的配置文件。
参考
一文彻底明白linux中的selinux到底是什么 SELinux之一:SELinux基本概念及基本配置 Android selinux配置和用法 详解 SEAndroid 以及 Hack 其规则(sepolicy) SELinux/SEAndroid 实例简述(二) TE语言规则