美文网首页
SELinux走过的坑

SELinux走过的坑

作者: nianxing | 来源:发表于2021-11-20 11:16 被阅读0次

linux通过UID/GID机制对权限进行管理,将文件的权限划分为读、写和执行三种,分别用字母r、w和x表示。每一个文件有三组读、写和执行权限,分别是针对“文件的所有者”、“文件所有者所属的组”以及其它用户。
在linux系统中,我们想完全操作某个文件,只需要执行sudo chmod 777 filename 即可。这表示root用户拥有无限大的权限,可以操作系统中的任何文件。
所以在安卓系统中,引入了SELinux用以提升系统安全性。

一、常用命令

SELinux模式有三种,Enforcing强制模式、Permissive宽容模式与Disabled完全禁用。
区别是Enforcing强制模式中,SELinux是起作用,而Permissive宽容模式SELinux不起作用,仅输出权限拒绝日志。

查看SELinux模式命令:getenforce
更改SELinux模式命令:setenforce 1 设置为Enforcing
                  setenforce 0 设置为Permissive

安卓中快速编译sepolicy并验证,需要本地代码整编过一次,已经生成out目录之后。(这里我遇到一个问题,这样编过几次之后,再去整编的时候就会报image out of space的错误,暂时不知道原因。)

$ mmma system/sepolicy/
$ adb push out/target/product/xxx/system/etc/selinux /system/etc/selinux
$ adb push out/target/product/xxx/vendor/etc/selinux /vendor/etc/selinux

也可单编systemimage,并刷机

$ make systemimage
$ adb reboot bootloader
$ fastboot flash system ./system.img
$ fastboot reboot

二、SELinux基本概念

1、如何配置SEpolicy

在分析安卓系统问题看日志时,会有同学好奇以下日志的含义:

05-25 18:51:22.421  7419  7419 W logcat  : type=1400 audit(0.0:1319): 
avc: denied { write } for name="syslog" 
dev="mmcblk0p87" ino=31476 scontext=u:r:logpersist:s0 
tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

这是linux的审计信息,简单的来说该日志可以理解为:logpersist想要访问system_data_file的dir目录,缺少了write写权限。
这是因为SELinux权限限制了,通过配置sepolicy即可通过。
如果想要简单配置sepolicy权限,则需要在logpersist.te文件下,设置以下allow:

allow  logpersist  system_data_file:dir  write;

但当加上“allow”语句之后,编译会报错,这是因为谷歌设置了neverallow,不允许我们针对“logpersist”与“system_data_file”添加allow语句。
为了解决这一问题,更加详细的了解一下SELinux。

2、了解

SEAndroid安全机制中的安全策略就是在“安全上下文”的基础上进行描述的, 它通过主体和客体的安全上下文,定义主体是否有权限访问客体。
以上述日志举例,主体 scontext就是u:r:logpersist:s0,客体tcontext是u:object_r:system_data_file:s0。该错误日志表示主体没有对客体的write权限,其中tclass=dir表示客体的类型为文件夹。

  1. Domain:u:r:logpersist:s0是一个“域”,它是一个进程或一组进程的标签。
  2. Type:u:object_r:system_data_file:s0是一个“对象标签”,它是一个对象或一组对象的标签。
  3. Class:dir 是客体的类型。(dir是文件夹,file是文件...)
  4. Permission:write 是缺少的权限。

以下语句表示,允许“logpersist进程”对所属“system_data_file”的文件件类型为文件夹“dir”进行“write”操作。

allow  logpersist  system_data_file:dir  write;

3、安全上下文

安全上下文由“SELinux用户”、“SELinux角色”、“类型”、“安全级别” 四部分组成,格式为“user:role:type:sensitivity”。
进程的安全上下文:用户固定为 u,角色固定为 r。如:u:r:logpersist:s0
文件的安全上下文:用户固定为 u,角色固定为 obejct_r。如:u:object_r:system_data_file:s0
安全级别:可以选择启用或者不启用,通常在进程及文件的安全上下文中安全级别都设置为s0。

进程的安全上下文的类型称为Domain,文件的安全上下文中的类型称为Type。

三、如何应对neverallow

在system/sepolicy/private/logpersist.te与system/sepolicy/prebuilts/api/29.0/private/logpersist.te中配置以下allow语句并编译,会报neverallow的错。

allow  logpersist  system_data_file:dir  write;

这表示谷歌不允许我们使用allow语句,解除限制的最暴力方法就是将报错处的neverallow语句删掉,这样确实可行,但是会过不了cts。
由于我们要访问的目录path为/data/syslog,将该目录定义成自己的Type
可以自定义Type,如下:
在file.te中自定义一个type为file_type,data_file_type,core_data_file_type:(应该只需要定义为file_type即可,我没有测试:)

type log_data_file, file_type, data_file_type, core_data_file_type;

在file_contexts中定义安全上下文:

/data/syslog(/.*)?            u:object_r:log_data_file:s0

将allow语句改为:

allow  logpersist  log_data_file to  write;

然后在logpersist.te中单独将自定义的log_data_file减去即可。(这里最好的是自定义一个service代替logpersist,那就要新建一个te文件了,比较麻烦)

neverallow logpersist {
  file_type
  userdebug_or_eng(`-misc_logd_file -coredump_file')
  with_native_coverage(`-method_trace_data_file')
  -log_data_file
}:file { create write append };

四:参考文献

1:https://blog.csdn.net/weixin_42082222/article/details/85239018
2:https://blog.csdn.net/ch853199769/article/details/82498725
3:https://blog.csdn.net/weixin_42082222/article/details/85239018

相关文章

  • SELinux走过的坑

    linux通过UID/GID机制对权限进行管理,将文件的权限划分为读、写和执行三种,分别用字母r、w和x表示。每一...

  • 20170904 SELinux

    SELinux的基本概念设置SELinux 一、SELinux的基本概念 (一)定义: SELinux:Secur...

  • Centos7 踩坑记录

    1、开启ssh服务(被selinux坑了) 1)先检查机器有没有安装ssh服务 rpm -qa |grep ssh...

  • 走过的坑?

    半年过去了 之前发生的事, 和要准备做的事情,想想有几个实现了目标 数了数 ,没有几个实现目标的 总感觉很焦虑, ...

  • 走过的坑

    好像这几年一直在努力修复自己,当然也在不断的踏坑。从一个坑里出来进去另外一个坑,慢慢的重拾自己的力量,让自己能够掌...

  • Centos 7 关闭SELINUX

    关闭SELINUX sed -i 's/SELINUX=enforcing/SELINUX=disabled/g'...

  • linux的SELinux

    SELinux的工作原理 查看SELinux的工作状态 设置selinux www的规则放行

  • RHCE Ex300做题总结

    1.配置SELinux vim /etc/selinux/config SELINUX =enforcing se...

  • SeLinux理论在Redis下实践:第1部分

    SeLinux背景 SeLinux是什么?    SeLinux全称为:Security Enhance Linu...

  • Centos7 系统优化

    Centos 7 内核优化 禁用SELINUX grep -i ^selinux /etc/selinux/con...

网友评论

      本文标题:SELinux走过的坑

      本文链接:https://www.haomeiwen.com/subject/sybytrtx.html