- 积分
- 297
贡献1423
飞刀567 FD
注册时间2015-12-21
在线时间50 小时
扫一扫,手机访问本帖 
|
硬件平台:飞凌嵌入式 OKT507-C开发板6 z) f& G8 d3 U1 g5 @0 g
操作系统:Android10.0& h$ g" s2 b* M
l. R0 Z p: }) U; O6 e, a 飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。基于MAC访问控制模型的SElinux,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。
* I# a) m+ H) G. C# M 从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。3 W- D8 |- |: L- B
6 b; d+ [% {% b5 K4 e; o 比如我们开发应用或者增加系统服务的某些权限的时候,我们必须遵循SELinux的规则,给我们的应用设置对应的安全策略,否则我们的应用就不具备访问数据或者设备的权限。下面我们MAC访问控制模型开始,简单的梳理一下飞凌嵌入式 T507 开发板 Android的安全策略,以及自定义飞凌嵌入式 T507 开发板 Android安全策略的方法。
- X; S9 u( j( V$ D$ B. w- Z 访问控制模型DAC,MAC 访问控制是指控制对计算机或者网络中某个资源的访问。没有它,所有人都可以访问任何资源。有了访问控制,用户在获取实际访问资源或进行操作之前,必须通过识别、验证、授权。( Q+ e+ ^5 }% P% @) B8 P* B7 Q' A
自主访问控制(DAC: Discretionary Access Control)系统识别用户,根据被操作对象的权限的设置,来决定该用户对其拥有的操作权限,read、write、exec。拥有这个对象权限的用户,又可以将该权限分配给其他用户,此谓之“Discretionary”。缺陷就是对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。9 [% S) U: C9 o
强制访问控制(MAC: Mandatory Access Control)MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC这种模型里,管理员管理访问控制。管理员制定策略,用户不能改变它。策略定义了哪个主体能访问哪个对象。这种访问控制模型可以增加安全级别,因为它基于策略,任何没有被显式授权的操作都不能执行。MAC被开发和实现在最重视保密的系统中,如军事系统。主体获得清楚的标记,对象得到分类标记,或称安全级别。& M6 {" J1 C/ C
基于MAC的SElinux 参考链接:https://source.android.google.cn/security/selinux8 I, [! i+ L+ @/ B! H6 [
软件通常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击者便可以利用该用户身份向每个原始块设备写入数据。从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。作为 Android 安全模型的一部分,Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。例如,可以使用 SELinux 为这些设备添加标签,以便被分配了 Root 权限的进程只能向相关政策中指定的设备写入数据。这样一来,该进程便无法重写特定原始块设备之外的数据和系统设置。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。0 c1 F, S: J1 D
 7 z( Z- G# h" N
9 [( @8 j. D0 r1 a4 V% X7 q7 I
飞凌嵌入式 T507 开发板 Android系统版本为Android10,SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。8 z; q5 F8 _9 [4 D
标签、规则和域 SELinux 依靠标签来匹配操作和策略。标签用于决定允许的事项。套接字、文件和进程在 SELinux 中都有标签。SELinux 在做决定时需参照两点:一是为这些对象分配的标签,二是定义这些对象如何交互的策略。
: O3 u# d0 t# g# Q2 _ 在 SELinux 中,标签采用以下形式:user:role:type:mls_level,其中 type 是访问决定的主要组成部分,可通过构成标签的其他组成部分进行修改。对象会映射到类,对每个类的不同访问类型由权限表示。
# ^4 D( H: ?: L+ V& B u9 [ 策略规则采用以下形式:allow domains types:classes permissions;,其中:# ?) c7 k/ J z" N
! {3 y/ v$ n( Q: S! Y0 t Domain - 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。 A3 h0 b# ]# s: z1 D! ~
Type - 一个对象(例如,文件、套接字)或一组对象的标签。 s& I; J0 `2 [$ Y6 e) Y
Class - 要访问的对象(例如,文件、套接字)的类型。Permission - 要执行的操作(例如,读取、写入)。
+ r3 r- k, q p& X, p& H 策略配置源文件 1、external/sepolicy
; H9 R+ l: |" A1 L* x 这是独立于设备的配置,一般不能针对设备进行修改
8 s0 R6 A8 F" {* k, U4 o6 ]- C6 `) s s6 C
2、device/<vendor>/<product>/sepolicy- d& @" m/ p' n/ |+ ]) S5 P; a5 v3 b
这是特定于设备的配置,基于 BOARD_SEPOLICY_* 变量来选择对应平台的策略配置。' x. v W/ z7 v( Q n/ p
+ \7 X+ S1 K3 g% S: ~
以飞凌嵌入式 T507 开发板 为例,T507策略文件的路径如下:2 e9 E d/ W: K6 k
OKT507-android-source/android$ ls device/softwinner/common/sepolicy/private vendor
7 P/ }5 v6 A+ f2 o) ~" K8 n; t Type Enforcement (TE) 配置文件 .te 文件中保存了对应对象的域和类型定义、规则。通常每个域一个 .te 文件,例如installd.te。在 device.te、file.te 中声明了设备和文件类型。在某些文件(例如domain.te、app.te)中则存储着共享规则。( ^% |. {5 O' p5 k$ ^& S# c# y% J
6 S, i+ B* N* K0 E! I' T 以飞凌嵌入式 T507 开发板 为例,T507 system_app的TE文件的路径如下: ^: L, h( ?+ {/ I
device/softwinner/common/sepolicy/vendor/system_app.te2 l6 X' e7 G& c g0 U5 p& H
标签配置文件 1、file_contexts:文件安全上下文
" t5 v( k: @! v3 |$ d9 ~1 D 2、property_contexts:属性安全上下文
3 o/ e1 Q: Z0 G$ I: u0 _' R9 ]% D1 O, q" M! ^$ }3 b0 J; |$ z/ W8 l
以飞凌嵌入式 T507 开发板 为例,T507 安全上下文文件路径如下:
* G5 S6 _6 U: D& B2 i( u/ [ device/softwinner/common/sepolicy/vendor/property_contexts
* F8 o7 A+ T4 N% p# c* y3 c, ? device/softwinner/common/sepolicy/vendor/file_contexts
5 J( s6 |$ w/ h- V( A SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):7 ?8 h! B1 L; k9 M
1)untrusted_app 第三方app,没有Android平台签名,没有system权限
9 H+ Q) d) l# s9 i; w- R& D" s 2)platform_app 有android平台签名,没有system权限7 E& [9 s. q& e
3)system_app 有android平台签名和system权限
$ F! }. o4 q, l' `- I4 v 从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app, E" |& k( J( t- w& o% M1 c
APP的domain和type 查看seapp_contexts文件,APP的domain和type由user和seinfo两个参数决定1 q' Y/ e: N6 P5 l4 F
system/sepolicy/private/seapp_contexts- c9 h! z& y2 L
isSystemServer=true domain=system_server_startup
! {% O# T1 M) k) }4 |/ m' y" A0 Y user=_app seinfo=platform name=com.android.traceur domain=traceur_app type=app_data_file levelFrom=all
5 I' A6 o! K& [* R! F user=system seinfo=platform domain=system_app type=system_app_data_file
0 L3 v; B8 E7 B user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
) a, s5 f5 V4 Q( P. ^ user=network_stack seinfo=network_stack domain=network_stack levelFrom=all + D. i& F4 z; x3 e% Y: ^8 w7 k. \
type=radio_data_file$ d( F3 ]2 k* A. B* e
user=nfc seinfo=platform domain=nfc type=nfc_data_file; \. ?" ], b: Y9 r
user=secure_element seinfo=platform domain=secure_element levelFrom=all
+ _+ w3 z7 b* p. M5 u/ t, F user=radio seinfo=platform domain=radio type=radio_data_file$ V7 Z, q7 h0 X" r
user=shared_relro domain=shared_relro
8 B3 f6 Q; r1 `- r( ~1 u user=shell seinfo=platform domain=shell name=com.android.shell type=shell_data_file
1 w9 ]7 A" T2 q1 ^ y3 j user=webview_zygote seinfo=webview_zygote domain=webview_zygote
0 \( l. `) ]4 u user=_isolated domain=isolated_app levelFrom=al
3 ? k! b" r/ Q3 V4 S luser=_app seinfo=app_zygote domain=app_zygote levelFrom=all
' I% P" D, D, a4 @- d user=_app seinfo=media domain=mediaprovider name=android.process.media type=app_data_file # x7 E U; Y: W! I2 P( m7 Y
levelFrom=user
7 h% ^0 L/ E$ }. d) E user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user8 @0 i" q3 f, e2 m& @6 B
user=_app isEphemeralApp=true domain=ephemeral_app type=app_data_file levelFrom=all; M. j# x% A/ }3 ]$ O6 i5 w
user=_app isPrivApp=true domain=priv_app type=privapp_data_file levelFrom=user
( D" U0 a: y) I/ g& g9 S user=_app minTargetSdkVersion=29 domain=untrusted_app type=app_data_file levelFrom=all
, X* O- z4 s9 c, \$ c/ k$ R) n user=_app minTargetSdkVersion=28 domain=untrusted_app_27 type=app_data_file levelFrom=all) x7 g1 Q6 s2 i9 u1 ?
user=_app minTargetSdkVersion=26 domain=untrusted_app_27 type=app_data_file ! H% i) Q6 L: K0 A- V. P Z* T
levelFrom=user
9 {0 \9 u$ j3 v- } user=_app domain=untrusted_app_25 type=app_data_file levelFrom=user
% R! {2 N" Q+ ~- v- W4 Y user=_app minTargetSdkVersion=28 fromRunAs=true domain=runas_app levelFrom=all/ U t1 Y3 y' A1 D" y* P7 c# D
user=_app fromRunAs=true domain=runas_app levelFrom=user% a% j, H0 G: V2 O, i$ O/ H$ M7 E1 G
user 参考链接:https://blog.csdn.net/huilin9960/article/details/81530568
L$ g3 \* e' | user可以理解为UID。android的UID和linux的UID根本是两回事,Linux的UID是用于针对多用户操作系统中用于区分用户的,而Android中的UID是用于系统进行权限管理的。参考链接中的文章对于uid的产生讲的很清楚。
5 N* A B# J$ z$ T4 f seinfo 不同签名会创建对应的selinux上下文。
+ o+ ~+ M2 V( A Android.mk, j5 S4 A' E( g H
LOCAL_CERTIFICATE := platform
2 z4 w! X; R$ G$ I1 v7 r$ p$ B 有platform签名,所以seinfo是platform。
% S v9 C5 _3 F1 C$ S LOCAL_CERTIFICATE作用 参考文档https://blog.csdn.net/hnlgzb/article/details/107823874
5 ?/ b ?* y. }$ C' } 可以查看Android源码build/target/product/security/ 目录下提供的默认签名文件,不同平台可能会有差异:飞凌嵌入式 T507 开发板 提供了media、networkstack、platform、shared、testkey、verity六种不同权限的签名文件。
$ I6 L, V x; F1 \$ l3 q R$ l  X6 m' T9 u" J2 i! R1 z- \0 p
以飞凌嵌入式 T507 开发板 为例,查看当前运行的应用信息: Q( k* r; x/ |2 Y m+ Q
console:/ # ps -Z: ]1 I! E, y: I" I
u:r:system_app:s0 system 15712 1861 1050628 110868 SyS_epoll_wait * H% [" C6 r- {) C u J6 z
0 S forlinx.example.app
2 T0 ]& H4 W& A, W; w! ^! u& ^ u:r:untrusted_app_27:s0:c512,c768 u0_a62 30259 1861 1052120 114132 SyS_epoll_wait
0 R9 {% c# x* C" S9 V 0 S com.forlinx.changelogo- V" |( |# p, z* ^* r
当前运行的两个APP,forlinx.example.app的UID(user)是system,拥有platform签名,它的domain和type就是system_app。8 b0 |. S" ~) a7 d
/ n$ S' I. J% Z$ x
% S a, Z& t* r" D+ T* o, ?/ f$ f  4 ^, S% i! q3 f
com.forlinx.changelogo没有设置UID使用的默认设置,其UID为u0_a62,并且没有设置签名文件,它的domain和type就是untrusted_app。* [& @$ ^2 _4 F, F! z2 ^
T507自定义安全策略 以上面两个运行的app来说,我们为这两个APP添加额外的权限,对应的TE配置文件分别就是system_app.te、untrusted_app.te,对应路径为:
( Q, {+ [; k( v device/softwinner/common/sepolicy/vendor/system_app.te g5 e! h3 ~4 v, n, B: f
device/softwinner/common/sepolicy/vendor/untrusted_app.te# }6 G7 [! \9 Z& U
3 \* S1 `% s$ A1 J" k5 N 以forlinx.example.app为例,我们为其添加can设备的执行权限:
\# x' w& \; I( G/ k9 I+ r2 c/ R# ] \& ~
OKT507-android-source/android$ vi device/softwinner/common/sepolicy/vendor/system_app.te' ?; B5 ~, d, F3 g, i! i
...
+ Q h7 P [* s8 A T( U6 x! y4 t# e# @ allow system_app vendor_shell_exec:file { getattr open read execute execute_no_trans };
2 L3 B# I1 U' J. ]8 ~, ^) @& n allow system_app shell_exec:file { getattr open read execute execute_no_trans };
0 c; q: u0 V0 }0 G, s, r+ Q" _ allow system_app shell:file { getattr open read execute execute_no_trans };
( z$ ~3 I1 }7 @# o+ D8 a; b- o' g ...
. Z5 ^7 V; Q6 d; Z 以策略规则配置形式(allow domains types:classes permissions)3 Q) q- |! i# V" T6 y
分析:domains:system_app
, { {: T/ _3 S2 I# E types:vendor_shell_exec
9 G0 d0 Q7 \' u- U3 B$ D0 p0 v2 L classes:file' }1 @ e( w: G7 F" _. C- b
permissions:getattr open read execute execute_no_trans n8 Z3 e) F; ^5 X
neverallow failures 有时我们增加的权限,系统默认的配置是不允许的,比如我们上面给forlinx.example.app增加的执行脚本的权限,报错如下:
5 a$ {; |% D& k; R& S7 L, k/ T% y% G$ D1 u" s; t; ~' ]
libsepol.report_failure: neverallow on line 9 of system/sepolicy/private/system_app.te
/ W( [0 a' S+ ]& j5 K (or line 41463 of policy.conf) violated by allow system_app shell:file { read open };
6 Q$ E, V! u* L" `. u/ z5 m libsepol.report_failure: neverallow on line 22 of system/sepolicy/private/shell.te
' U! J- G/ H3 {& j; R* \9 G (or line 40025 of policy.conf) violated by allow system_app shell:file { read open };
& F8 q: x2 ]. [8 B8 V libsepol.check_assertions: 2 neverallow failures occurred
8 ]2 f2 H. D% D' r# D
. o9 \0 b3 U: v6 G7 | 系统默认的安全策略的路径为system/sepolicy/,根据报错的提示,我们可以修改默认的配置,修改system/sepolicy/private/system_app.te和system/sepolicy/private/shell.te,从而完成权限的赋予。
+ K6 O _; g& H( a
7 ]9 O; Y. z7 h) h# y 以上就是Android 安全策略的脉络,以及飞凌嵌入式 T507 开发板 Android系统下自定义安全策略的方法了。
) l- r4 i: O& B$ R; C4 c; p% v) w! J& u2 [/ |6 h! ]
|
|
|小黑屋|
飞凌嵌入式
( 冀ICP备12004394号-1 )
发表于 2021-12-5 17:25:38
千斤顶