深入理解 SEAndroid:应用程序目录的 SELinux 安全上下文与访问控制机制

于 2025-03-22 13:28:09 发布
阅读量1k 收藏 12
点赞数 21
文章标签: 安全 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fromair/article/details/146438554
版权

在 Android 系统中,安全性一直是一个核心关注点。为了应对各种安全威胁,Android 引入了 SELinux(Security-Enhanced Linux)作为强制访问控制(MAC)机制,提供了一种有效的安全防护方案。SEAndroid 是 SELinux 在 Android 系统中的实现,它增强了 Android 系统的安全性,防止了诸如恶意软件、特权提升等潜在的安全威胁。

本文将深入探讨 SEAndroid 如何管理 应用程序文件 的安全上下文,并阐述 PMS(Package Manager Service)installd(安装守护进程) 如何创建应用程序专有的数据存储目录,并为其关联合适的 SELinux 安全上下文。此外,还将探讨 Android 系统中的 三重保护机制,以及 SELinux 在 AOSP 中的目录结构

1. SEAndroid 和 SELinux 安全模型概述

SELinux 安全模型

SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它的核心是通过 安全上下文 来对文件、进程和资源的访问进行严格控制。在 SELinux 中,每个进程和文件都会被分配一个 安全上下文(Security Context),采用 user:role:type:security 的格式:

user:role:type:security
  • user:表示用户,通常是 u(unprivileged)。
  • role:表示角色,通常是 r(例如:system_r)。
  • type:表示类型,是最关键的部分,定义了对象的访问权限。
  • security:表示安全级别,通常为 s0,用于表示系统的多级安全(MLS)级别。

例如,对于应用程序数据目录 /data/data/com.example.app/,其 SELinux 上下文可能为:

u:object_r:app_data_file:s0

这表明该目录属于 app_data_file 类型,且只能由符合该类型规则的进程访问。

SEAndroid 中的安全上下文

SEAndroid 中,每个进程和资源(包括文件、目录、设备等)都被分配一个 SELinux 上下文,确保应用之间、系统进程与应用之间的隔离,避免非法访问。

2. 三重保护机制:Android 系统的安全防护

DAC(Discretionary Access Control)

DAC 是最基础的访问控制机制,它基于文件和目录的权限管理(如用户、组和其他)。在 Android 中,DAC 使用的是传统的 UGO 权限模型

  • User(用户):文件的拥有者。
  • Group(组):与文件共享相同权限的用户组。
  • Others(其他):不属于文件拥有者和其组的所有其他用户。

DAC 权限虽然简单,但缺乏严格的安全控制,容易被绕过。

MAC(Mandatory Access Control)

在 Android 中,SELinux 实现了 MAC,即强制访问控制。SELinux 通过定义每个对象(如文件、进程)和用户(或进程)的 安全上下文 来强制限制访问。通过 SELinux 策略(如 allowdenyneverallow 规则),系统可以严格地控制哪些进程能访问哪些资源,从而有效防止恶意应用访问不应访问的敏感数据。

SeAndroid(SEAndroid)

SEAndroid 是 Android 系统中基于 SELinux 的实现,它增强了系统的安全性。通过对系统文件、应用数据、系统属性等资源对象的访问进行严格的安全策略管理,SEAndroid 提供了多层次的防护。例如,系统进程只能访问特定的系统资源,而应用程序只能访问自己专属的数据目录,且通过 SELinux 策略加以保护。

这三种保护机制结合起来形成了 Android 系统的 三重保护,即:

  • DAC(基于 UGO 权限模型的文件系统权限管理)
  • MAC(基于 SELinux 强制访问控制)
  • SEAndroid(针对 Android 系统和应用的 SELinux 策略)

这种多重防护机制确保了 Android 系统具有更强的安全性,可以有效抵御各种恶意攻击。

3. SEAndroid 的应用程序目录及安全上下文

PMS 和 installd 的角色

在 Android 系统中,应用程序的专有数据存储目录位于 /data/data/ 目录下。每个应用都会在该目录下有一个独立的子目录,用于存储应用的数据文件。

  • PMS(Package Manager Service):负责管理和查询应用包的信息,决定应用安装的路径。
  • installd(安装守护进程):在应用安装过程中,实际执行应用文件的解压、复制操作,并创建必要的文件系统目录。

应用程序数据目录的创建过程

  1. PMS 会根据应用的包名(<package_name>)和安装信息,决定应用程序的数据存储目录。
  2. installd 会在 /data/data/ 下为每个应用创建一个唯一的目录(例如 /data/data/com.example.app/)。
  3. installd 创建目录后,会根据 SELinux 策略和文件上下文规则为该目录分配一个特定的 安全上下文

4. 如何关联 SELinux 安全上下文

分配安全上下文

在 SEAndroid 中,系统会根据 应用的 UID类型 来为应用的目录分配一个 SELinux 类型。该类型控制着该目录的访问权限。

  • UID:每个应用在 Android 系统中都会被分配一个唯一的用户 ID(UID)。例如,应用的 UID 可能是 10001,对应一个特定的进程和数据目录。
  • 类型:与 UID 关联的 SELinux 类型(如 app_data_file)用于控制进程对该目录的访问。

installd 创建 /data/data/<package_name>/ 目录时,它会根据 文件上下文规则file_contexts)为该目录分配一个安全上下文。例如:

/data/data/com.example.app/     u:object_r:app_data_file:s0

安全上下文的映射

这个规则的含义是:

  • /data/data/com.example.app/ 目录将会被分配 u:object_r:app_data_file:s0 这个安全上下文。
    • u:用户。
    • object_r:对象角色。
    • app_data_file:目录类型。
    • s0:安全级别。

通过这种方式,每个应用的数据目录都被分配了一个独特的安全上下文,以确保应用之间的数据隔离。

5. SELinux 策略文件中的安全控制

文件上下文规则

file_contexts 是 SELinux 策略中用于定义文件与 SELinux 类型映射的配置文件。它描述了在文件系统中的每个路径如何与 SELinux 类型关联。常见的 file_contexts 配置可能如下所示:

/data/data/.*     u:object_r:app_data_file:s0

这条规则表示所有位于 /data/data/ 下的目录(即每个应用的存储目录)都将被标记为 app_data_file 类型,并遵循相应的访问控制规则。

SEAndroid 策略

SEAndroid 通过 sepolicy 文件来定义 SELinux 策略,规定进程对资源的访问权限。sepolicy 文件由多个部分组成:

  • .te 文件(Type Enforcement 文件):定义类型强制(TE)规则,控制进程对资源的访问。
  • file_contexts:定义文件的 SELinux 上下文。
  • property_contexts:定义系统属性的 SELinux 上下文。
  • service_contexts:定义系统服务的 SELinux 上下文。

在这些规则中,allow 语句定义了哪些进程可以访问哪些资源:

allow system_server app_data_file:dir { read write };

这条规则允许 system_server 进程对 app_data_file 类型的目录进行读写操作。

6. SELinux 在 AOSP 中的目录结构

在 AOSP 中,SELinux 策略文件被组织在多个目录中,关键的目录如下:

  • system/sepolicy/:存放 SELinux 策略文件的目录,包含了 sepolicyfile_contextsservice_contexts 等文件。
  • system/sepolicy/te/:存放 Type Enforcement 文件的目录,这些文件定义了 SELinux 的类型强制规则。
  • system/sepolicy/file_contexts:定义了文件的 SELinux 安全上下文。
  • system/sepolicy/seinfo:用于调试和分析 SELinux 信息的文件。

这些目录和文件协同工作,确保 SELinux 策略在 AOSP 中的有效实施。

7. 如何调试 SELinux 拒绝访问

如果某个应用或进程试图访问其未被授权的资源,系统将通过 SELinux 记录下 avc: denied 错误日志。我们可以通过以下命令进行调试:

adb shell dmesg | grep 'avc: denied'

通过查看日志,我们可以了解到具体哪个进程试图访问哪个资源,并根据日志中的信息调整 SELinux 策略文件。

8. 总结

在 SEAndroid 中,SELinux 提供了强大的访问控制机制,确保每个应用程序的数据都被隔离和保护。通过 PMSinstalld,每个应用程序的数据目录会在 /data/data/ 下被创建,并且根据 SELinux 策略分配合适的安全上下文。

  • PMSinstalld 负责创建应用数据目录。
  • SELinux 策略文件(如 .tefile_contexts 负责将合适的安全上下文分配给每个目录。
  • SEAndroid 的强制访问控制确保不同应用之间的数据隔离,防止恶意应用访问其他应用的敏感数据。

这种基于 SELinux 的安全控制模型,为 Android 系统提供了多层防护,提高了整个系统的安全性。

fromair
关注
SeAndroid 安全策略机制
a546036242的博客
03-16 1343
Android系统中,应用有时需要访问或修改特定的系统属性。为了限制哪些应用可以访问或修改这些属性,我们可以使用seAndroid策略来控制。
SEAndroid策略分析
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Android系统10 RK3399 init进程启动(二十五) SeAndroid 安全上下文文件
ldswfun的专栏
06-01 858
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)本章节介绍SeAndroid中常见的几个安全上下文文件。在Android源码中会存在几个重要的上下文文件, 用来描述系统和属性,服务等的上下文信息, 路径在system/sepolicyfile_contexts根系统中所有文件的安全上下文, 如/system/bin, /system/etc等文件,源码路径如: system/sepolicy/privat
智能终端信息安全概念(十一):内核安全(3)SElinux应用分析——SEAndroid
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-31 841
为允许的Intent分发。
SEAndroid策略
移动编程
05-21 701
基础知识 SEAndroid在架构和机制SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
Android 系统SELinuxSEAndroid
tq501501的博客
06-25 4553
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限执行它的用...
SEAndroid:Linux安全框架在Android的增强资源保护机制详解
SEAndroid安全机制框架是在Android系统中引入的一个增强安全性的解决方案,它是在NSA为传统Linux系统开发的SELinux安全机制基础上针对Android独特特点进行定制的。由于Android基于Linux但拥有不同的用户空间运行时,...
深入理解Android SEAndroid安全机制
SEAndroid机制下,每个应用程序和服务都被分配了一个特定的安全上下文(security context),这个上下文定义了它的访问控制策略,确保只有被授权的操作才能被执行。 在SEAndroid中,安全策略主要由两部分组成:...
理解应用SELinux安全策略:从入门到精通
书中详细介绍了SELinux的标记转换约束validatetrans,该约束用于控制文件系统客体(如文件、目录、设备文件等)的安全上下文转换。此外,书籍还适用于那些希望理解和管理SELinux策略的读者,要求读者具备扎实的Linux...
理解应用SELinux安全策略
SEAndroidAndroid系统中实现的SELinux框架,为每个应用和服务分配独特的安全上下文,限制它们可以访问的资源。 本指南适合熟悉Linux/Unix环境,尤其是对SELinux有需求的开发者和系统管理员。通过学习,读者将能...
SELinux系统调用权限控制:动态转换文件安全创建详解
本指南详细介绍了在Android系统中,特别是rk3399平台,系统调用(如execve(2))安全增强Linux(SELinux)权限管理之间的紧密关系。首先,系统调用的权限控制通过transition许可来实现,它控制着进程从一个安全域...
深入理解SEAndroid.pdf
09-28
SEAndroid 是 Google 在 Android 4.4 上正式推出的一套以 SELinux 为基础于核心的系统 安全机制。而 SELinux 则是由美国 NSA(国安局)和一些公司(RedHat、Tresys)设计的一 个针对 Linux 的安全加强系统。
SEAndroid学习
qq_42538455的博客
05-12 995
需求:很简单,一个system进程要往ServiceManager中添加服务。 没写对应的SELinux策略时遇到的错误: 02-21 10:37:25.662 484 484 E SELinux : avc: denied { add } for service=car_model_service pid=10283 uid=1000 scontext=u:r:system_app:s0 tcontext=u:object_r:default_android_service:s0 tclass
android 8.1 安全机制SEAndroid & SELinux
热门推荐
岁月斑驳7的博客
07-27 2万+
1. SELinux 背景知识 详细了解 Android 8.0 SELinux,可以参阅 Google 官方文档 1.1 DAC MAC 在 SELinux 出现之前,Linux 上的安全模型叫 DAC, 全称是 Discretionary Access Control,翻译为自主访问控制。 DAC 的核心思想很简单,就是:进程理论上所拥有的权限执行它的用户的权限相同。比如,...
SEAndroid
he980725866的博客
01-22 2572
Android selinux SEAndroid
SE for Android 系列之整体概要
vichie2008的专栏
08-05 2824
引言 由于目前关于SE for Android的介绍相对比较缺泛,因此本文的主要目的就是对整个SE for Android进行详细的介绍,同时可以作为相关工具、命令行、策略构建工具以为策略文件格式的使用说明书。 术语 先了解一下三个重要的术语,分别是SE for Android、AOSP和SEAndroid。 SE for Android
Android设置应用进程的安全上下文
u013234805的专栏
04-30 3768
理解了守护进程的安全上下文的创建过程后,我们再看看应用进程的安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程的安全上下文,如下所示: rc =
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值