- 积分
- 297
贡献1423
飞刀567 FD
注册时间2015-12-21
在线时间50 小时
扫一扫,手机访问本帖 
|
硬件平台:飞凌嵌入式 OKT507-C开发板( Y' ]( B0 r B( v) Z4 n
操作系统:Android10.0; e. y" g. M6 L8 B" S
! R" @/ t, x: `, {) W/ W% d" M6 |
飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。基于MAC访问控制模型的SElinux,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。1 S, L8 U5 |1 x8 C5 J/ R$ @, ~
从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。6 s* p2 {, m+ W! j: {3 ^& K) `
( O. u/ k/ z/ p& J2 Y% @: } 比如我们开发应用或者增加系统服务的某些权限的时候,我们必须遵循SELinux的规则,给我们的应用设置对应的安全策略,否则我们的应用就不具备访问数据或者设备的权限。下面我们MAC访问控制模型开始,简单的梳理一下飞凌嵌入式 T507 开发板 Android的安全策略,以及自定义飞凌嵌入式 T507 开发板 Android安全策略的方法。8 w# W1 c/ T+ J
访问控制模型DAC,MAC 访问控制是指控制对计算机或者网络中某个资源的访问。没有它,所有人都可以访问任何资源。有了访问控制,用户在获取实际访问资源或进行操作之前,必须通过识别、验证、授权。
5 C+ X N7 Q* ~- w# H 自主访问控制(DAC: Discretionary Access Control)系统识别用户,根据被操作对象的权限的设置,来决定该用户对其拥有的操作权限,read、write、exec。拥有这个对象权限的用户,又可以将该权限分配给其他用户,此谓之“Discretionary”。缺陷就是对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。
: m' F' s9 \; s b! N, [ 强制访问控制(MAC: Mandatory Access Control)MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC这种模型里,管理员管理访问控制。管理员制定策略,用户不能改变它。策略定义了哪个主体能访问哪个对象。这种访问控制模型可以增加安全级别,因为它基于策略,任何没有被显式授权的操作都不能执行。MAC被开发和实现在最重视保密的系统中,如军事系统。主体获得清楚的标记,对象得到分类标记,或称安全级别。5 y& p* H6 S! |
基于MAC的SElinux 参考链接:https://source.android.google.cn/security/selinux8 Z4 F5 t0 \) G' Z; Q* w0 _
软件通常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击者便可以利用该用户身份向每个原始块设备写入数据。从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。作为 Android 安全模型的一部分,Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。例如,可以使用 SELinux 为这些设备添加标签,以便被分配了 Root 权限的进程只能向相关政策中指定的设备写入数据。这样一来,该进程便无法重写特定原始块设备之外的数据和系统设置。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。
& ], U7 ~+ _/ g5 p- V6 M  ; q( t/ |! ]. X! P: w/ d+ n
: ]" j. h3 x, I; }6 j
飞凌嵌入式 T507 开发板 Android系统版本为Android10,SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。
" Z7 V# R, T; S u c 标签、规则和域 SELinux 依靠标签来匹配操作和策略。标签用于决定允许的事项。套接字、文件和进程在 SELinux 中都有标签。SELinux 在做决定时需参照两点:一是为这些对象分配的标签,二是定义这些对象如何交互的策略。5 `, j$ o, Z9 Y* a6 s4 R
在 SELinux 中,标签采用以下形式:user:role:type:mls_level,其中 type 是访问决定的主要组成部分,可通过构成标签的其他组成部分进行修改。对象会映射到类,对每个类的不同访问类型由权限表示。! @/ H! I& w" }3 [& W
策略规则采用以下形式:allow domains types:classes permissions;,其中:1 \1 T) X& U3 b9 m
' m! t( F M; [5 E
Domain - 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。
4 f3 m8 V' F% Q V Type - 一个对象(例如,文件、套接字)或一组对象的标签。
$ Y9 F: @) e6 a Class - 要访问的对象(例如,文件、套接字)的类型。Permission - 要执行的操作(例如,读取、写入)。
' z# P; x( p! T. x0 ] 策略配置源文件 1、external/sepolicy
' B8 ^' R9 i; j$ T$ l$ w- T 这是独立于设备的配置,一般不能针对设备进行修改9 X4 g4 I4 ?, ?5 h. r9 X
2 D9 ~* P% l" j
2、device/<vendor>/<product>/sepolicy
9 L9 @& ]3 \ f2 D: D! o0 i0 P 这是特定于设备的配置,基于 BOARD_SEPOLICY_* 变量来选择对应平台的策略配置。
, |$ g6 j" G0 d* h4 R% Y
$ ?/ i/ d* U' j8 x% @+ [ d/ @ 以飞凌嵌入式 T507 开发板 为例,T507策略文件的路径如下:
) W% U- e1 R( B3 \+ o OKT507-android-source/android$ ls device/softwinner/common/sepolicy/private vendor g& d1 t" B/ W: G8 V& M; n) V
Type Enforcement (TE) 配置文件 .te 文件中保存了对应对象的域和类型定义、规则。通常每个域一个 .te 文件,例如installd.te。在 device.te、file.te 中声明了设备和文件类型。在某些文件(例如domain.te、app.te)中则存储着共享规则。) e2 \$ y9 ]4 o0 \7 \* h% j
% F% k6 w. H; U2 J4 u/ U( I I 以飞凌嵌入式 T507 开发板 为例,T507 system_app的TE文件的路径如下:
. _1 Q3 Y- Z. ^, ]( l+ m) y device/softwinner/common/sepolicy/vendor/system_app.te* c% ]$ a2 Z( P) C
标签配置文件 1、file_contexts:文件安全上下文
1 f- d' ]: Q- Y- d1 ]( C 2、property_contexts:属性安全上下文- W) E4 i, g3 [4 f
5 ?5 u8 O3 y9 S. ^5 p
以飞凌嵌入式 T507 开发板 为例,T507 安全上下文文件路径如下:# @0 J* k5 U& ^4 a( x
device/softwinner/common/sepolicy/vendor/property_contexts
9 s+ _4 g. ^ c* ]: a8 G5 N. y; I device/softwinner/common/sepolicy/vendor/file_contexts
5 G! R4 F1 {* f SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):
. f" r& H7 h4 B2 l, x0 u 1)untrusted_app 第三方app,没有Android平台签名,没有system权限
! P( s- j+ M [# ?2 e+ j 2)platform_app 有android平台签名,没有system权限
; i2 c1 t. K5 S5 T0 X. B8 L- R 3)system_app 有android平台签名和system权限
5 O: ~6 c5 e" s0 D; Z 从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app1 G4 w0 H! @& G: w$ ~7 W
APP的domain和type 查看seapp_contexts文件,APP的domain和type由user和seinfo两个参数决定
* y! P! S9 w* A. j; ] system/sepolicy/private/seapp_contexts" D. A8 R& `6 P( ]& Z
isSystemServer=true domain=system_server_startup
) R) H0 W8 f/ `' C8 i( z% K% p user=_app seinfo=platform name=com.android.traceur domain=traceur_app type=app_data_file levelFrom=all
6 l- B" Y( e1 m1 l( L2 h B: J: Q$ c user=system seinfo=platform domain=system_app type=system_app_data_file: ` L% Y$ v; Q1 c
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file( ]* O3 s/ P8 f9 V
user=network_stack seinfo=network_stack domain=network_stack levelFrom=all " e3 L7 c7 j s$ j+ H p9 W H2 ]0 q
type=radio_data_file2 ~9 A/ q Z m) P' H3 b6 h
user=nfc seinfo=platform domain=nfc type=nfc_data_file" T, U3 Z3 F" z
user=secure_element seinfo=platform domain=secure_element levelFrom=all
9 R) a9 I! e& D user=radio seinfo=platform domain=radio type=radio_data_file
6 r; }. K! [, f' z9 v7 e0 V5 o9 y user=shared_relro domain=shared_relro+ ^+ c6 J5 A( g N$ ^5 G6 F
user=shell seinfo=platform domain=shell name=com.android.shell type=shell_data_file
/ `! o8 G+ H' J# Y: u; k user=webview_zygote seinfo=webview_zygote domain=webview_zygote6 v8 z9 p1 Y8 {2 c8 ~4 F
user=_isolated domain=isolated_app levelFrom=al
' Z- o/ l, E$ }2 N, m! {. o luser=_app seinfo=app_zygote domain=app_zygote levelFrom=all
7 B6 S* C/ b, y' A; j, }8 D user=_app seinfo=media domain=mediaprovider name=android.process.media type=app_data_file 3 B. H( g, }. I6 Q$ h& ?% u
levelFrom=user5 p/ K/ e5 l: U* V$ ]9 v! G X
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
; A3 E* u* ^# e4 Y1 Y9 ?* {* Z! _7 Y user=_app isEphemeralApp=true domain=ephemeral_app type=app_data_file levelFrom=all
& E+ y" Z* T% Y user=_app isPrivApp=true domain=priv_app type=privapp_data_file levelFrom=user+ M" i' j0 F: o- s8 f- g4 l" {
user=_app minTargetSdkVersion=29 domain=untrusted_app type=app_data_file levelFrom=all' C: O, q- R" j0 O
user=_app minTargetSdkVersion=28 domain=untrusted_app_27 type=app_data_file levelFrom=all
1 X* M. w6 ]+ \$ q8 m k user=_app minTargetSdkVersion=26 domain=untrusted_app_27 type=app_data_file
+ J1 W+ v& g" E" b2 b) C, }' ^3 U5 S levelFrom=user. k% ?4 U& \* \" D
user=_app domain=untrusted_app_25 type=app_data_file levelFrom=user
+ R, G" r6 C6 {1 h- a! U" f user=_app minTargetSdkVersion=28 fromRunAs=true domain=runas_app levelFrom=all
1 F" p1 I, }7 B' r& _ user=_app fromRunAs=true domain=runas_app levelFrom=user
- w* t, l5 N) I; y& u user 参考链接:https://blog.csdn.net/huilin9960/article/details/81530568
$ p- W g$ c2 B4 k: P user可以理解为UID。android的UID和linux的UID根本是两回事,Linux的UID是用于针对多用户操作系统中用于区分用户的,而Android中的UID是用于系统进行权限管理的。参考链接中的文章对于uid的产生讲的很清楚。8 Y$ r% r3 r& v2 b
seinfo 不同签名会创建对应的selinux上下文。% ~( p% \! _$ d8 ^& l- @
Android.mk6 I/ O" l: @. v3 a7 \- ^. U
LOCAL_CERTIFICATE := platform
1 s: D* Z( D! h8 O" y 有platform签名,所以seinfo是platform。
3 p( g1 m# ^) D& g3 t: v+ y LOCAL_CERTIFICATE作用 参考文档https://blog.csdn.net/hnlgzb/article/details/107823874' ` A1 u$ o5 l) V4 M
可以查看Android源码build/target/product/security/ 目录下提供的默认签名文件,不同平台可能会有差异:飞凌嵌入式 T507 开发板 提供了media、networkstack、platform、shared、testkey、verity六种不同权限的签名文件。& r- S8 M2 k" w0 y/ Z s9 M
9 x" T3 ]7 h8 k# x# Q9 V: ^ 以飞凌嵌入式 T507 开发板 为例,查看当前运行的应用信息:
2 e, I3 C1 K, g3 s; t+ S console:/ # ps -Z! s1 h7 ]8 M) A! ]# F8 I
u:r:system_app:s0 system 15712 1861 1050628 110868 SyS_epoll_wait
" b' \) R! a. a: @ 0 S forlinx.example.app
" e. T3 i% c& h- v' Q u:r:untrusted_app_27:s0:c512,c768 u0_a62 30259 1861 1052120 114132 SyS_epoll_wait + _! L* Y! k% e- o% U* u
0 S com.forlinx.changelogo6 R# p/ f$ u$ }/ B
当前运行的两个APP,forlinx.example.app的UID(user)是system,拥有platform签名,它的domain和type就是system_app。
9 ~! j D7 [3 {1 s6 n( [ M* ] 
, e: O7 F' h1 x% h) K" M& X( y; L x* h, n
 6 z: F; @' q J' b+ e" t7 v7 j
com.forlinx.changelogo没有设置UID使用的默认设置,其UID为u0_a62,并且没有设置签名文件,它的domain和type就是untrusted_app。0 e1 k6 a3 G4 X8 W& d
T507自定义安全策略 以上面两个运行的app来说,我们为这两个APP添加额外的权限,对应的TE配置文件分别就是system_app.te、untrusted_app.te,对应路径为:
# h0 J8 w- t2 Q, T' @' `; A device/softwinner/common/sepolicy/vendor/system_app.te
- s) k* _, [- Q4 R8 k# e* }, U device/softwinner/common/sepolicy/vendor/untrusted_app.te
# J( L9 J1 S1 g
: {; \ L: j: _! g7 H& o/ y9 i 以forlinx.example.app为例,我们为其添加can设备的执行权限:3 s0 M* `9 @' t! @; l
8 B y( |) q+ S OKT507-android-source/android$ vi device/softwinner/common/sepolicy/vendor/system_app.te7 k" t/ L" s( z% {2 h% k$ r; A
...1 A9 {+ i3 S4 {9 ?; A; H0 k
allow system_app vendor_shell_exec:file { getattr open read execute execute_no_trans };
) t+ H; N5 U5 a% i$ }6 s allow system_app shell_exec:file { getattr open read execute execute_no_trans };
2 `& L* {2 |* Q allow system_app shell:file { getattr open read execute execute_no_trans };# L% i+ J R9 G$ h. y
...3 O" _, U3 _' T4 p; Z- L
以策略规则配置形式(allow domains types:classes permissions)
0 y0 N/ L# Q7 U& d: G$ X 分析:domains:system_app
, y% K4 d7 w; P. |, M types:vendor_shell_exec# v5 u8 v7 y1 }4 Z% L( w
classes:file, i9 n5 G/ |5 X8 J- }! W# g: ~/ l
permissions:getattr open read execute execute_no_trans
+ Q! d4 |0 _# G& T neverallow failures 有时我们增加的权限,系统默认的配置是不允许的,比如我们上面给forlinx.example.app增加的执行脚本的权限,报错如下:
+ T9 D8 X$ [* a) D) |
8 }5 w1 h. A0 x& x! t P9 n libsepol.report_failure: neverallow on line 9 of system/sepolicy/private/system_app.te 9 L# r4 Z |7 g( h' e2 W$ |1 r( D
(or line 41463 of policy.conf) violated by allow system_app shell:file { read open };
7 U7 j- J) p0 s- x; d7 N libsepol.report_failure: neverallow on line 22 of system/sepolicy/private/shell.te5 C% f0 }0 r# c: U& b$ |& j
(or line 40025 of policy.conf) violated by allow system_app shell:file { read open };1 W1 i+ i, g; B/ L H
libsepol.check_assertions: 2 neverallow failures occurred
% x3 N8 Z8 m4 y9 x) S% D* h5 ?" ~# X. N U& U. z x+ V! n. _
系统默认的安全策略的路径为system/sepolicy/,根据报错的提示,我们可以修改默认的配置,修改system/sepolicy/private/system_app.te和system/sepolicy/private/shell.te,从而完成权限的赋予。
: y6 b9 |2 ^+ `& Q1 N$ B4 G, T! d- Z3 ?$ V/ W
以上就是Android 安全策略的脉络,以及飞凌嵌入式 T507 开发板 Android系统下自定义安全策略的方法了。, _1 ]7 Z" I0 Y: y0 U5 z% d
: B! L; k7 j. J9 h2 b* k0 p
|
|
|小黑屋|
飞凌嵌入式
( 冀ICP备12004394号-1 )
发表于 2021-12-5 17:25:38
千斤顶