- 积分
- 305
贡献1464
飞刀575 FD
注册时间2015-12-21
在线时间51 小时

扫一扫,手机访问本帖 
|
硬件平台:飞凌嵌入式 OKT507-C开发板
/ H- q C8 R" o 操作系统:Android10.0
: u' X- x% A5 q: z0 R, s
, S( k( J* E+ ~7 D6 V C' U 飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。基于MAC访问控制模型的SElinux,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。6 ?' H7 u9 `. w% x3 Z
从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。
: G0 R9 g3 Q$ n4 [( Q
( R6 p: n, Q' N- r 比如我们开发应用或者增加系统服务的某些权限的时候,我们必须遵循SELinux的规则,给我们的应用设置对应的安全策略,否则我们的应用就不具备访问数据或者设备的权限。下面我们MAC访问控制模型开始,简单的梳理一下飞凌嵌入式 T507 开发板 Android的安全策略,以及自定义飞凌嵌入式 T507 开发板 Android安全策略的方法。
X! E+ h6 E3 a7 T1 S7 k 访问控制模型DAC,MAC 访问控制是指控制对计算机或者网络中某个资源的访问。没有它,所有人都可以访问任何资源。有了访问控制,用户在获取实际访问资源或进行操作之前,必须通过识别、验证、授权。
' Y7 O" z& J% `' b5 [+ q 自主访问控制(DAC: Discretionary Access Control)系统识别用户,根据被操作对象的权限的设置,来决定该用户对其拥有的操作权限,read、write、exec。拥有这个对象权限的用户,又可以将该权限分配给其他用户,此谓之“Discretionary”。缺陷就是对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。0 J. {- k, s# i. @
强制访问控制(MAC: Mandatory Access Control)MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC这种模型里,管理员管理访问控制。管理员制定策略,用户不能改变它。策略定义了哪个主体能访问哪个对象。这种访问控制模型可以增加安全级别,因为它基于策略,任何没有被显式授权的操作都不能执行。MAC被开发和实现在最重视保密的系统中,如军事系统。主体获得清楚的标记,对象得到分类标记,或称安全级别。) B8 `. F/ x+ Q3 R6 Y
基于MAC的SElinux 参考链接:https://source.android.google.cn/security/selinux
, |" T i* f S, | 软件通常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击者便可以利用该用户身份向每个原始块设备写入数据。从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。作为 Android 安全模型的一部分,Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。例如,可以使用 SELinux 为这些设备添加标签,以便被分配了 Root 权限的进程只能向相关政策中指定的设备写入数据。这样一来,该进程便无法重写特定原始块设备之外的数据和系统设置。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。: @: a# Z& k |5 X% {- n) h
* z" i3 q% K% U" E
( _ {* P5 C' G0 E 飞凌嵌入式 T507 开发板 Android系统版本为Android10,SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。
. r ^; q8 Y; f v 标签、规则和域 SELinux 依靠标签来匹配操作和策略。标签用于决定允许的事项。套接字、文件和进程在 SELinux 中都有标签。SELinux 在做决定时需参照两点:一是为这些对象分配的标签,二是定义这些对象如何交互的策略。. J+ h# K5 R q4 W
在 SELinux 中,标签采用以下形式:user:role:type:mls_level,其中 type 是访问决定的主要组成部分,可通过构成标签的其他组成部分进行修改。对象会映射到类,对每个类的不同访问类型由权限表示。
0 y' s5 k) m4 p1 j, F$ N 策略规则采用以下形式:allow domains types:classes permissions;,其中:
" a( Y- c, p4 v) P8 w/ F& w1 p; l8 s4 a9 J2 B$ C6 ]6 X7 G* A
Domain - 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。
+ e! o5 j: d S; h- n& S) _ Type - 一个对象(例如,文件、套接字)或一组对象的标签。
. f8 l9 Z/ Y& S E6 e) Z Class - 要访问的对象(例如,文件、套接字)的类型。Permission - 要执行的操作(例如,读取、写入)。& |' P5 {2 Q7 l! N; B0 |" ?/ }
策略配置源文件 1、external/sepolicy, ]; M* W5 P9 B" e
这是独立于设备的配置,一般不能针对设备进行修改 d* V% E/ {0 w( ^# }8 o: A0 X
' E' A8 ^1 T- K" M. R2 i$ w 2、device/<vendor>/<product>/sepolicy
# G$ }! i Q9 ~* K 这是特定于设备的配置,基于 BOARD_SEPOLICY_* 变量来选择对应平台的策略配置。' ~0 u: n/ _; g& t9 I+ ~- b
8 [" Q& X4 _ G
以飞凌嵌入式 T507 开发板 为例,T507策略文件的路径如下:
7 R2 q; ?: T" g% h OKT507-android-source/android$ ls device/softwinner/common/sepolicy/private vendor4 l5 d' e+ B' l. V- i4 o. e
Type Enforcement (TE) 配置文件 .te 文件中保存了对应对象的域和类型定义、规则。通常每个域一个 .te 文件,例如installd.te。在 device.te、file.te 中声明了设备和文件类型。在某些文件(例如domain.te、app.te)中则存储着共享规则。" m7 K# [- W! I* p% ~
/ c2 v* R, u! `, O* x 以飞凌嵌入式 T507 开发板 为例,T507 system_app的TE文件的路径如下:
1 K6 y! z: t7 T device/softwinner/common/sepolicy/vendor/system_app.te/ J9 b- \, E( ^4 R7 m( ?. p
标签配置文件 1、file_contexts:文件安全上下文
1 O0 }! h" D! D8 b 2、property_contexts:属性安全上下文+ H- O4 z2 p) l3 T; D/ ?- G
' Y) T% K( u: `) V3 Y9 a8 A
以飞凌嵌入式 T507 开发板 为例,T507 安全上下文文件路径如下:: N, [7 h2 Y6 V$ `
device/softwinner/common/sepolicy/vendor/property_contexts+ W1 Z0 e& _" O2 J$ m0 i
device/softwinner/common/sepolicy/vendor/file_contexts4 k) o9 B: H6 M1 _% x6 }
SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):
) D, L( E' e. @" m: L6 O 1)untrusted_app 第三方app,没有Android平台签名,没有system权限9 ^7 O. m5 X. |' n1 D
2)platform_app 有android平台签名,没有system权限
, D8 D* P" |+ T 3)system_app 有android平台签名和system权限
+ v+ ?- Z! i7 C! }' Y 从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app: a3 B" k" O, C0 r* i$ h
APP的domain和type 查看seapp_contexts文件,APP的domain和type由user和seinfo两个参数决定3 I0 g, @4 V5 a3 q+ ?- ^
system/sepolicy/private/seapp_contexts
3 Y @4 d5 i+ X4 n4 e4 n- O isSystemServer=true domain=system_server_startup
; R+ s% Z. I: V. j user=_app seinfo=platform name=com.android.traceur domain=traceur_app type=app_data_file levelFrom=all" j6 A* u4 s) k% X+ f# \2 D* r
user=system seinfo=platform domain=system_app type=system_app_data_file; [+ t( T( ~& _3 |% G3 H
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file9 Y( D& [1 ~/ w
user=network_stack seinfo=network_stack domain=network_stack levelFrom=all
6 ?0 e- F2 b. h' z# F* |! ?$ m" A type=radio_data_file
- [" F5 m$ ?0 _7 F% ^ \# x0 k, ] user=nfc seinfo=platform domain=nfc type=nfc_data_file
& p4 q& H3 g# O) F# v3 [8 C user=secure_element seinfo=platform domain=secure_element levelFrom=all4 A$ d0 q7 t5 A& j G; k' @
user=radio seinfo=platform domain=radio type=radio_data_file$ K3 L% H! L$ z+ G$ T1 g
user=shared_relro domain=shared_relro
& ~2 T# r" R$ y0 g9 { user=shell seinfo=platform domain=shell name=com.android.shell type=shell_data_file
5 n" C5 H% h# S/ v* d) P# x, s user=webview_zygote seinfo=webview_zygote domain=webview_zygote
* d0 c8 e0 X1 A8 `' h' i user=_isolated domain=isolated_app levelFrom=al
, t% Y+ Z1 j7 d2 l/ e+ M0 D! C# z luser=_app seinfo=app_zygote domain=app_zygote levelFrom=all$ i* @, j" n' b7 I9 X
user=_app seinfo=media domain=mediaprovider name=android.process.media type=app_data_file
7 }. r* R+ C) g9 @- {# h levelFrom=user1 I/ v9 i! k4 }# P$ O# c6 D. ^" {! {- g3 n
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user% V0 S' G; @" `, m; X! j! w4 z
user=_app isEphemeralApp=true domain=ephemeral_app type=app_data_file levelFrom=all) z/ [: a3 L1 E
user=_app isPrivApp=true domain=priv_app type=privapp_data_file levelFrom=user! \! M& {1 x# x" h U& N6 R& p
user=_app minTargetSdkVersion=29 domain=untrusted_app type=app_data_file levelFrom=all6 y# U+ r9 b8 p' j1 S, R- d( l
user=_app minTargetSdkVersion=28 domain=untrusted_app_27 type=app_data_file levelFrom=all
0 F" Q* `5 N# q2 _) \ user=_app minTargetSdkVersion=26 domain=untrusted_app_27 type=app_data_file
% \; `$ g- q, Q3 }* ^ levelFrom=user
# d: L: G& q4 ]) ?, m1 ~ a user=_app domain=untrusted_app_25 type=app_data_file levelFrom=user
' Q F. C1 G2 }: A user=_app minTargetSdkVersion=28 fromRunAs=true domain=runas_app levelFrom=all
& [9 N+ L* V$ Q8 X4 p1 z user=_app fromRunAs=true domain=runas_app levelFrom=user
! S3 _7 H, v0 d user 参考链接:https://blog.csdn.net/huilin9960/article/details/81530568% Y1 C; P2 L- C& f" J; ]% G! V. s
user可以理解为UID。android的UID和linux的UID根本是两回事,Linux的UID是用于针对多用户操作系统中用于区分用户的,而Android中的UID是用于系统进行权限管理的。参考链接中的文章对于uid的产生讲的很清楚。3 ?7 ]9 y8 @" ~3 H X- A
seinfo 不同签名会创建对应的selinux上下文。( a7 x# Z% t( D+ }0 {1 }
Android.mk; S( M' s7 ~' T! e; k0 t
LOCAL_CERTIFICATE := platform( i( K. c5 H$ V1 d, z( M
有platform签名,所以seinfo是platform。: S% z; @* y# |( v) n' x( w; P) h; L
LOCAL_CERTIFICATE作用 参考文档https://blog.csdn.net/hnlgzb/article/details/107823874% x) w3 z: k3 S, O% `1 o* A& r0 ]
可以查看Android源码build/target/product/security/ 目录下提供的默认签名文件,不同平台可能会有差异:飞凌嵌入式 T507 开发板 提供了media、networkstack、platform、shared、testkey、verity六种不同权限的签名文件。# [; P- y! Q; ]
5 H. I5 `3 m2 M 以飞凌嵌入式 T507 开发板 为例,查看当前运行的应用信息:
" D$ `9 ~, ^( z3 h' J7 L console:/ # ps -Z
. i) s; T, \& K! z- X u:r:system_app:s0 system 15712 1861 1050628 110868 SyS_epoll_wait - J9 O) H/ U8 Y4 e$ ?1 H
0 S forlinx.example.app" M& L* ?& j0 E+ V5 ?7 p
u:r:untrusted_app_27:s0:c512,c768 u0_a62 30259 1861 1052120 114132 SyS_epoll_wait 7 }6 \/ r; M. M/ o
0 S com.forlinx.changelogo
7 |, l2 o* [: \& o( v 当前运行的两个APP,forlinx.example.app的UID(user)是system,拥有platform签名,它的domain和type就是system_app。
0 w' ?2 S* N+ [. t& e6 h& h! |, P# V
& B- [: D+ M9 y: d' f9 e6 w# H
# x% {+ w9 T- F, d( h+ w: t7 e
) c% v( C' f: `& C, {7 m- O com.forlinx.changelogo没有设置UID使用的默认设置,其UID为u0_a62,并且没有设置签名文件,它的domain和type就是untrusted_app。) |9 g: n: B" G& }/ w) z$ W; ?
T507自定义安全策略 以上面两个运行的app来说,我们为这两个APP添加额外的权限,对应的TE配置文件分别就是system_app.te、untrusted_app.te,对应路径为:$ E2 T3 X6 R1 {, ^! l
device/softwinner/common/sepolicy/vendor/system_app.te
5 _, J* c" Z6 g$ Q" o6 O4 J' r device/softwinner/common/sepolicy/vendor/untrusted_app.te
" D, [6 t8 k& k9 d# |# B3 t6 J \8 U3 ]6 N+ }) k
以forlinx.example.app为例,我们为其添加can设备的执行权限:* f4 Q$ O) n; p3 C2 D
3 F" F o# w$ W5 F2 @6 ? OKT507-android-source/android$ vi device/softwinner/common/sepolicy/vendor/system_app.te
- `- d1 L6 u) U ...
/ n! b* `: u- [# ]$ ~; | allow system_app vendor_shell_exec:file { getattr open read execute execute_no_trans };2 H+ n4 B& P) P# Y, w& M
allow system_app shell_exec:file { getattr open read execute execute_no_trans };
: e# t6 f; U z( _% t allow system_app shell:file { getattr open read execute execute_no_trans };2 A% c f9 U- u* A4 \
...4 o. F" M9 n! v$ @# k- H+ a
以策略规则配置形式(allow domains types:classes permissions)" q7 k* ?6 u' N% b0 ]/ F4 b
分析:domains:system_app, D5 v! ?# k+ T) m9 {
types:vendor_shell_exec
6 @6 R1 D& q. v$ Y: A4 S! a' n classes:file
( M( S! {- m1 } k6 b* ?* o" X permissions:getattr open read execute execute_no_trans
' Y4 O6 q' A# T8 j neverallow failures 有时我们增加的权限,系统默认的配置是不允许的,比如我们上面给forlinx.example.app增加的执行脚本的权限,报错如下:
S9 f3 O; O: U' v
$ G5 J6 a) _) Z4 q2 _$ b libsepol.report_failure: neverallow on line 9 of system/sepolicy/private/system_app.te
: j }9 b4 _ G |0 I5 x: j (or line 41463 of policy.conf) violated by allow system_app shell:file { read open };
( Y" q; F# j8 I& {7 @! @5 q( S libsepol.report_failure: neverallow on line 22 of system/sepolicy/private/shell.te+ U* u" N% x3 b. d# a- S M5 |
(or line 40025 of policy.conf) violated by allow system_app shell:file { read open };7 Z( e1 m* a" ~
libsepol.check_assertions: 2 neverallow failures occurred
3 f' @ E l' i; M5 C; h, L. O1 O8 t& Q0 u, B/ q
系统默认的安全策略的路径为system/sepolicy/,根据报错的提示,我们可以修改默认的配置,修改system/sepolicy/private/system_app.te和system/sepolicy/private/shell.te,从而完成权限的赋予。9 w& p V* h& b( x3 p
, s4 k. u0 ]# n+ _# P: T
以上就是Android 安全策略的脉络,以及飞凌嵌入式 T507 开发板 Android系统下自定义安全策略的方法了。% b, d$ Y* Y! o0 l1 ~
x2 C* _0 Y" t |
|