文章目录

  • SElinux
  • 优势
  • SELinux for Android
  • SELinux Policy 语言介绍
  • TE介绍
  • rule_name命令
  • source_type命令,
  • target_type命令
  • Class命令
  • SELinux相关代码目录1. kernel/msm-3.18/security/selinux/


SElinux

Security-Enhanced Linux,安全增强型Linux,一个内核模块,也是Linux的安全子系统。
由美国国家安全局开发,2.6及以上Linux版本都已经集成了SELinux模块。

SElinux结构及配置非常复杂,而且有大量概念性东西,要学精难度很大,很多Linux系统管理员嫌麻烦把SElinux关了。

SElinu目的在于明确指明某个进程可以访问哪些资源(文件,网络端口)强制访问控制系统的用途在于增强系统抵御0-Day攻击(利用尚未公开的漏洞实现的攻击行为)的能力。

比如:Apache被发现存在一个漏洞,使得某个远程用户可以访问系统上的敏感文件,(比如/etc/passwd来获得系统已存在的用户),而修复该安全漏洞的Apache更新补丁尚未释放出,此时SELinux可以起到弥补该漏洞的缓和方案,因为/etx/passwd不具有Apache的访问标签,所以Apache对于/etc/passed的访问会被SELinux阻止。

优势

相比其他强制性访问控制系统,SELinux有如下优势

  • 控制策略是可查询
  • 可以热更新策略无需重启或者停止服务
  • 可以从进程初始化,继承和程序执行三个方面通过策略进行控制。
  • 控制范围覆盖文件系统,目录,文件,文件启动描述符,端口, 消息接口和网络接口。

SELinux for Android

SELinux for android在架构和机制上与SELinux完全一样,考虑到移动设备特点,移植到Android上的只是SELinux的一个子集,SELinux for Android的安全检查几乎覆盖所有重要的系统资源,包括域转换,类型转换,进程,内核,文件,目录,设备,App,网络及IPC相关的操作。
android的两种模式,只能二选一。

  • DAC(Discretionary Access control自主访问控制)
    仅记录但不强制执行,SELinux安全策略 DAC是传统Linxu访问控制方式,可以对文件,文件夹,共享资源进行访问控制。
    DAC这种模型中,文件客体的所有者或者系统管理员负责访问控制
    DAC采用ACL(Access Control List访问控制列表)来给非管理者用户提供不同的权限,而root用户对文件系统有完全自由的控制权。
  • MAC (Manddatory Access Control)
    强制执行并记录安全政策,如果失败,显示EPERM错误。MAC是任何进程想在SELinux系统中干任何事情,都必须现在安全策略配置文件中赋予权限,
//netd.te
allow net proc:file wite
//允许netd域(domain)中的进程写类型为proc的文件


//system.te
allow system_app proc_vmstat:file {open read write}
允许 system_app域(domain)中的进程open read write 类型为proc_vmstat的文件

凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。

该机制相当于一个白名单,这个白名单上配置了所有进程的权限,进程只能做白名单上权限内的事情。否则会被拒绝。

SELinux有自己的一套规则来编写安全策略文件,这套规则被称之为SELinux Policy语言,是掌握SELinux的重点。

SELinux Policy 语言介绍

Linux中有两种东西,一种死的(Inactive),一种活的(Active)。死的东西就是文件(Linux哲学,万物皆文件。注意,万不可狭义解释为File),而活的东西就是进程。此处的“死”和“活”是一种比喻,映射到软件层面的意思是:进程能发起动作,例如它能打开文件并操作它。而文件只能被进程操作。

Linux中有两个东西,一种死的(Inactive),一种活的(Activity)。死的东西就是文件(Linux哲学,万物皆文件,注意不是狭义的File),而活的东西就是进程,此处死的活的是一种比喻,映射到软件层面的意思就是:进程能发起动作,例如它能打开文件并操作它,而文件只能被进程操作。

SELinux中,每种东西都会被赋予一个安全属性,它就是SecurityContext(Security Context以下简称SContext,安全上下文或安全属性)是一个字符串,主要由三部分组成。进程的Scontext可通过ps -Z命令查看。:

$ ps -Z
LABEL                          USER     PID   PPID  NAME  
u:r:init:s0                    root      1     0     /init  
u:r:kernel:s0                  root      2     0     kthreadd
u:r:kernel:s0                  root      258   2     irq/322-HPH_R O  
u:r:logd:s0                    logd      259   1     /system/bin/logd  
u:r:healthd:s0                 root      260   1     /sbin/healthd  
u:r:lmkd:s0                    root      261   1     /system/bin/lmkd  
u:r:servicemanager:s0          system    262   1     /system/bin/servicemanager  
u:r:vold:s0                    root      263   1     /system/bin/vold
  • u为user的意思。SEAndroid中定义了一个SELinux用户,值为u。
  • r为role的意思。role是角色之意,它是SELinux中一种比较高层次,更方便的权限管理思路,即Role Based Access Control(基于角色的访问控制,简称为RBAC)。简单点说,一个u可以属于多个role,不同的role具有不同的权限。RBAC我们到最后再讨论。
  • init,代表该进程所属的Domain为init。MAC的基础管理思路其实不是针对上面的RBAC,而是所谓的Type Enforcement Accesc Control(简称TEAC,一般用TE表示)。对进程来说,Type就是Domain。比如init这个Domain有什么权限,都需要通过[例子1]中allow语句来说明。
  • S0和SELinux为了满足军用和教育行业而设计的Multi-Level Security(MLS)机制有关。简单点说,MLS将系统的进程和文件进行了分级,不同级别的资源需要对应级别的进程才能访问。后文还将详细介绍MLS。

文件的SContex,读者可通过ls -Z来查看,

coral:/proc $ ls -Z vmstat
u:object_r:proc_vmstat:s0 vmstat

  • u user之意
  • object_r :文件是死的,没法扮演角色,所以SELinux中,死的东西用object_r来表示他的role
  • rootfs: 死的东西的Type,和进程的domain其实是一个意思。表示
  • s0: MLS的级别

根据SELinux规范,完整的SContext字符串为:

user:role:type[:range]

SContext的核心其实是前三个部分:user:role:type。

比如读取/proc/vmstat被拒绝,会有日志打印:

01-18 20:16:07.618 5443 5443 W est.performance: type=1400 audit(0.0:9): avc: denied { read } 
for name=“vmstat” dev=“proc” ino=4026531859 scontext=u:r:system_app:s0 tcontext=u:object_r:proc_vmstat:s0 tclass=file permissive=0
scontext=u:r:system_app:s0 tcontext,进程域为system_app,

MAC基本管理单位是TEAC(Type Enforcement Accesc Control),然后是高一级别的Role Based Access Control。RBAC是基于TE的,而TE也是SELinux中最主要的部分。

TE介绍

rule_name source_typ target_type:class perm_set

例如:allow system_app proc_vmstat:file read

android selinux生成文件 selinux安卓是干什么的_linux

  • allow 授权,此外还有allowaudit,dontaudit,neverallow
  • system_app souce type 也叫subject,domain
  • proc_vmstat : target type.代表其后file 对应的type
  • file 代表object class,代表能给subject操作的一类东西 如File Dir socketdeng ,Binder(android特有)
  • write object定义的操作。

允许system_app域中的进程向proc_vmstat type的文件(Object Class为file)读取

rule_name命令

命令

含义

allow

允许某个进程执行某个动作

audital low

audit含义就是记录某项操作,默认SELinux只记录那些权限检查失败的操作

dontaudit

对那些权限检查失败的操作不做记录

neverallow

没有被allow到的动作默认就不允许执行,neverallow只是显式地写出某个动作不被允许,如果添加了该动作的allow,则会编译错误

source_type命令,

指定一个域(donmain)。一般用于描述进程,该域内的进程,受该条TE语句的限制,

type关键字,把一个自定义的域与原有的域相关联,最简单地定义一个新域的方式为:

type shell, domain

意思为赋予shell给domain属性,同时,shell与属于domain这个集合里。

例如:有一个allow domain xxxxx 的语句,同样地也给了shell xxxxx的属性

target_type命令

进程需要操作的客体(文件,文件夹等)类型,(安全上下文),同样是用type与一些已有的类型,属性相关联。

type有两个作用,定义(声明)并关联某个属性。

可以把这两个作用分开,type定义,typeattribute进行关联。

Class命令

class定义在文件system/sepolicy/private/security_classes中.

SELinux相关代码目录1. kernel/msm-3.18/security/selinux/

  1. external/selinux/
  2. 用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device/<oem_name>/sepolicy/<product_name>/和system/sepolicy/,以及其他功能模块添加的配置文件。