文章目录
- SElinux
- 优势
- SELinux for Android
- SELinux Policy 语言介绍
- TE介绍
- rule_name命令
- source_type命令,
- target_type命令
- Class命令
- SELinux相关代码目录1. kernel/msm-3.18/security/selinux/
SElinux
Security-Enhanced Linux,安全增强型Linux,一个内核模块,也是Linux的安全子系统。
由美国国家安全局开发,2.6及以上Linux版本都已经集成了SELinux模块。
SElinux结构及配置非常复杂,而且有大量概念性东西,要学精难度很大,很多Linux系统管理员嫌麻烦把SElinux关了。
SElinu目的在于明确指明某个进程可以访问哪些资源(文件,网络端口)强制访问控制系统的用途在于增强系统抵御0-Day攻击(利用尚未公开的漏洞实现的攻击行为)的能力。
比如:Apache被发现存在一个漏洞,使得某个远程用户可以访问系统上的敏感文件,(比如/etc/passwd来获得系统已存在的用户),而修复该安全漏洞的Apache更新补丁尚未释放出,此时SELinux可以起到弥补该漏洞的缓和方案,因为/etx/passwd不具有Apache的访问标签,所以Apache对于/etc/passed的访问会被SELinux阻止。
优势
相比其他强制性访问控制系统,SELinux有如下优势
- 控制策略是可查询
- 可以热更新策略无需重启或者停止服务
- 可以从进程初始化,继承和程序执行三个方面通过策略进行控制。
- 控制范围覆盖文件系统,目录,文件,文件启动描述符,端口, 消息接口和网络接口。
SELinux for Android
SELinux for android在架构和机制上与SELinux完全一样,考虑到移动设备特点,移植到Android上的只是SELinux的一个子集,SELinux for Android的安全检查几乎覆盖所有重要的系统资源,包括域转换,类型转换,进程,内核,文件,目录,设备,App,网络及IPC相关的操作。
android的两种模式,只能二选一。
- DAC(Discretionary Access control自主访问控制)
仅记录但不强制执行,SELinux安全策略 DAC是传统Linxu访问控制方式,可以对文件,文件夹,共享资源进行访问控制。
DAC这种模型中,文件客体的所有者或者系统管理员负责访问控制
DAC采用ACL(Access Control List访问控制列表)来给非管理者用户提供不同的权限,而root用户对文件系统有完全自由的控制权。 - MAC (Manddatory Access Control)
强制执行并记录安全政策,如果失败,显示EPERM错误。MAC是任何进程想在SELinux系统中干任何事情,都必须现在安全策略配置文件中赋予权限,
//netd.te
allow net proc:file wite
//允许netd域(domain)中的进程写类型为proc的文件
//system.te
allow system_app proc_vmstat:file {open read write}
允许 system_app域(domain)中的进程open read write 类型为proc_vmstat的文件
凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
该机制相当于一个白名单,这个白名单上配置了所有进程的权限,进程只能做白名单上权限内的事情。否则会被拒绝。
SELinux有自己的一套规则来编写安全策略文件,这套规则被称之为SELinux Policy语言,是掌握SELinux的重点。
SELinux Policy 语言介绍
Linux中有两种东西,一种死的(Inactive),一种活的(Active)。死的东西就是文件(Linux哲学,万物皆文件。注意,万不可狭义解释为File),而活的东西就是进程。此处的“死”和“活”是一种比喻,映射到软件层面的意思是:进程能发起动作,例如它能打开文件并操作它。而文件只能被进程操作。
Linux中有两个东西,一种死的(Inactive),一种活的(Activity)。死的东西就是文件(Linux哲学,万物皆文件,注意不是狭义的File),而活的东西就是进程,此处死的活的是一种比喻,映射到软件层面的意思就是:进程能发起动作,例如它能打开文件并操作它,而文件只能被进程操作。
SELinux中,每种东西都会被赋予一个安全属性,它就是SecurityContext(Security Context以下简称SContext,安全上下文或安全属性)是一个字符串,主要由三部分组成。进程的Scontext可通过ps -Z命令查看。:
$ ps -Z
LABEL USER PID PPID NAME
u:r:init:s0 root 1 0 /init
u:r:kernel:s0 root 2 0 kthreadd
u:r:kernel:s0 root 258 2 irq/322-HPH_R O
u:r:logd:s0 logd 259 1 /system/bin/logd
u:r:healthd:s0 root 260 1 /sbin/healthd
u:r:lmkd:s0 root 261 1 /system/bin/lmkd
u:r:servicemanager:s0 system 262 1 /system/bin/servicemanager
u:r:vold:s0 root 263 1 /system/bin/vold
- u为user的意思。SEAndroid中定义了一个SELinux用户,值为u。
- r为role的意思。role是角色之意,它是SELinux中一种比较高层次,更方便的权限管理思路,即Role Based Access Control(基于角色的访问控制,简称为RBAC)。简单点说,一个u可以属于多个role,不同的role具有不同的权限。RBAC我们到最后再讨论。
- init,代表该进程所属的Domain为init。MAC的基础管理思路其实不是针对上面的RBAC,而是所谓的Type Enforcement Accesc Control(简称TEAC,一般用TE表示)。对进程来说,Type就是Domain。比如init这个Domain有什么权限,都需要通过[例子1]中allow语句来说明。
- S0和SELinux为了满足军用和教育行业而设计的Multi-Level Security(MLS)机制有关。简单点说,MLS将系统的进程和文件进行了分级,不同级别的资源需要对应级别的进程才能访问。后文还将详细介绍MLS。
文件的SContex,读者可通过ls -Z来查看,
coral:/proc $ ls -Z vmstat
u:object_r:proc_vmstat:s0 vmstat
- u user之意
- object_r :文件是死的,没法扮演角色,所以SELinux中,死的东西用object_r来表示他的role
- rootfs: 死的东西的Type,和进程的domain其实是一个意思。表示
- s0: MLS的级别
根据SELinux规范,完整的SContext字符串为:
user:role:type[:range]
SContext的核心其实是前三个部分:user:role:type。
比如读取/proc/vmstat被拒绝,会有日志打印:
01-18 20:16:07.618 5443 5443 W est.performance: type=1400 audit(0.0:9): avc: denied { read }
for name=“vmstat” dev=“proc” ino=4026531859 scontext=u:r:system_app:s0 tcontext=u:object_r:proc_vmstat:s0 tclass=file permissive=0
scontext=u:r:system_app:s0 tcontext,进程域为system_app,
MAC基本管理单位是TEAC(Type Enforcement Accesc Control),然后是高一级别的Role Based Access Control。RBAC是基于TE的,而TE也是SELinux中最主要的部分。
TE介绍
rule_name source_typ target_type:class perm_set
例如:allow system_app proc_vmstat:file read
- allow 授权,此外还有allowaudit,dontaudit,neverallow
- system_app souce type 也叫subject,domain
- proc_vmstat : target type.代表其后file 对应的type
- file 代表object class,代表能给subject操作的一类东西 如File Dir socketdeng ,Binder(android特有)
- write object定义的操作。
允许system_app域中的进程向proc_vmstat type的文件(Object Class为file)读取
rule_name命令
命令 | 含义 |
allow | 允许某个进程执行某个动作 |
audital low | audit含义就是记录某项操作,默认SELinux只记录那些权限检查失败的操作 |
dontaudit | 对那些权限检查失败的操作不做记录 |
neverallow | 没有被allow到的动作默认就不允许执行,neverallow只是显式地写出某个动作不被允许,如果添加了该动作的allow,则会编译错误 |
source_type命令,
指定一个域(donmain)。一般用于描述进程,该域内的进程,受该条TE语句的限制,
用type
关键字,把一个自定义的域与原有的域相关联,最简单地定义一个新域的方式为:
type shell, domain
意思为赋予shell给domain属性,同时,shell与属于domain这个集合里。
例如:有一个allow domain xxxxx 的语句,同样地也给了shell xxxxx的属性
target_type命令
进程需要操作的客体(文件,文件夹等)类型,(安全上下文),同样是用type与一些已有的类型,属性相关联。
type有两个作用,定义(声明)并关联某个属性。
可以把这两个作用分开,type定义,typeattribute进行关联。
Class命令
class定义在文件system/sepolicy/private/security_classes中.
SELinux相关代码目录1. kernel/msm-3.18/security/selinux/
- external/selinux/
- 用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device/<oem_name>/sepolicy/<product_name>/和system/sepolicy/,以及其他功能模块添加的配置文件。