Android selinux配置

最新推荐文章于 2025-03-11 15:22:06 发布
最新推荐文章于 2025-03-11 15:22:06 发布
阅读量677 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Android 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/peilong1988/article/details/88745543
本文对比介绍了Android O之前与O及以后版本的SELinux配置差异。Android O引入Treble机制,改变了SELinux策略的分离方式。针对不同版本,详细阐述了配置流程,包括设备节点标签化、服务进程权限分配等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近项目上遇到Android selinux权限配置的问题,Android O之前的版本与Android O及之后的版本有较大的差异。Android O引入了Treble机制,为了防止system.img和vendor.img 中的数据、服务、应用等相互依赖、调用和 引用,谷歌大幅度的更新了selinux权限管理,在Android O及以后的版本中,sepolicy进行了分离,与system相关的sepolicy(对应文件路径:/system/sepolicy)打包到system.img,与vendor相关的sepolicy(对应文件路径:/device/mediatek/sepolicy/basic)打包到vendor.img,在终端上生成策略文件路径分别为/system/etc/sepolicy、/vendor/etc/sepolicy。

selinux的原理等网上已经有文章写的非常好(https://blog.youkuaiyun.com/innost/article/details/19299937),本篇文章主要介绍两种系统下的selinux配置方法

1、基于Android O之前的版本的selinux配置

在selinux配置前要先熟悉整体方案在Android系统中的架构,项目的整体框架大致如下:底层的kernel中有设备驱动程序,建立/dev/node的设备节点,hal层封装具体协议,服务程序service跑在系统system server的进程背景下,通过jni对设备节点进行访问,在service中做相关的安全检查,检查通过的apk与service间通过binder机制进行通信及调用,最终操作设备节点

配置思路:定义主体和客体的安全上下文,定义主体对客体的访问权限,通俗一点即为新增的device定义具体的标签,然后给相应的process开启相应的权限。

具体步骤:将设备节点打上标签,将service定义为system_server type,配置system_server对设备节点的操作权限,将service打上标签,将service加到system server进程中,具体修改如下:

1) init.project.rc
chown system system /dev/node
chmod 0666 /dev/node

2) device.te
type xxx_device,dev_type;

3) file_contexts
/dev/node  u:object_r:xxx_device:s0

4) system_server.te
allow system_server xxx_device:chr_file rw_file_perms;

5) service.te
type yyy_server_service, app_api_service,system_server_service,system_manager_type;

6) service_contexts
zzz u:object_r:yyy_server_service:s0

7) frameworks/base/core/java/android/content/Context.java
public static final String YYY_SERVICE = "zzz";
   services/java/com/android/server/SystemServer.java
ServiceManager.addService(Context.YYY_SERVICE, yyyService);

2、基于Android O及之后版本的selinux配置

项目的整体框架为:底层的kernel中有设备驱动程序,建立/dev/node的设备节点,中间件封装具体的协议,HIDL提供独立的进程背景,上层应用程序可以通过C和Java与HIDL服务进行进程间通信。与Android O之前的版本相比,服务不再运行在system server进程背景下,有独立的进程背景。

配置思路:配置HIDL可执行程序对设备节点的访问权限,配置HIDL的server和client,调用者可通过成为HIDL的一个client的方式获取对server的访问权限

几个重要角色:设备节点、HIDL可执行程序(生成的HIDL可执行文件)、HIDL server进程(HIDL可执行程序运行时进程)、HIDL service(注册到系统中的HIDL服务,APK通过获取到HIDL service与之通信)、HILD client(最终调用HIDL的应用程序)

配置步骤:将设备节点打上标签,配置HIDL可执行程序对设备节点的访问权限,配置HIDL的server进程允许使用IBinder IPC通信,配置server进程有权限将HIDL service添加到hwservice_manager并找到这个service,配置server和client的绑定关系,这样就可以通过client与server进行通信,具体修改如下:

1) attributes
attribute hal_issue;
attribute hal_issue_client;
attribute hal_issue_server;

2) file_contexts
/dev/node u:object_r:xxx_device:s0 //给设备节点打上标签
/(vendor|system/vendor)/bin/hw/vendor\.yyy\.device@1\.0-service u:object_r:hal_issue_mtk_exec:s0 //给HIDL的可执行程序打上标签

3) hwservice_contexts
vendor.yyy.device::IDevice u:object_r:hal_issue_hwservice:s0 //给HIDL的服务打上标签

4) hwservice.te
type hal_issue_hwservice, hwservice_manager_type;

5) hal_issue.te
binder_call(hal_issue_client, hal_issue_server) //设置允许hal_issue_client进程 binder IPC to hal_issue_server进程
binder_call(hal_issue_server, hal_issue_client) //设置允许进程hal_issue_server binder IPC to hal_issue_client进程
allow hal_issue_client hal_issue_hwservice:hwservice_manager find; //允许hal_issue_client对hal_issue_hwservice有find权限

6) hal_issue_default.te
type hal_issue_mtk, domain;
type hal_issue_mtk_exec, exec_type, file_type, vendor_file_type; //设置HIDL的可执行程序的属性

init_daemon_domain(hal_issue_mtk) // //通过执行hal_zyitong_qti_exec可执行程序设置从init到hal_zyitong_qti守护进程域的转换:如果没有设置,当hal_zyitong_qti 从init进程fork出来执行后,hal_zyitong_qti会被设置成和init进程拥有一模一样的安全上下文,其拥有和init进程一样的权限
;如果设置之后,则当其从init进程fork出来之后,将被设置成hal_zyitong_service.te为hal_zyitong_qti进程配置的安全上下文,其拥有同init进程不一样的权限.

hwbinder_use(hal_issue_mtk) //允许hal_issue_qti进程使用HwBinder IPC
hal_server_domain(hal_issue_mtk, hal_issue)  //设置hal_issue_server的实现为hal_issue_mtk进程
add_hwservice(hal_issue_mtk, hal_issue_hwservice) //使hal_issue_mtk有能力将hal_issue_hwservice添加到hwservice_manager并找到这个service

allow hal_issue_mtk xxx_device:chr_file { ioctl read write getattr lock append map open }; //配置hal_issue_mtk对xxx_device的操作权限

hal_client_domain(platform_app, hal_issue) //设置platform_app为hal_issue_client的一个client,从而可以与hal_issue_server通信

8) seapp_contexts
user=_app seinfo=platform name=com.xxx domain=platform_app type=app_data_file levelFrom=user // 设置通过平台签名的apk的进程domain为platform_app

9) init.project.rc
chown system system /dev/node
chmod 0666 /dev/node

以下摘抄自 system/sepolicy/public/te_macros

#####################################
# init_daemon_domain(domain)
# Set up a transition from init to the daemon domain
# upon executing its binary.
define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)
tmpfs_domain($1)
')

#####################################
# hwbinder_use(domain)
# Allow domain to use HwBinder IPC.
define(`hwbinder_use', `
# Call the hwservicemanager and transfer references to it.
allow $1 hwservicemanager:binder { call transfer };
# Allow hwservicemanager to send out callbacks
allow hwservicemanager $1:binder { call transfer };
# hwservicemanager performs getpidcon on clients.
allow hwservicemanager $1:dir search;
allow hwservicemanager $1:file { read open };
allow hwservicemanager $1:process getattr;
# rw access to /dev/hwbinder and /dev/ashmem is presently granted to
# all domains in domain.te.
')

###########################################
# add_hwservice(domain, service)
# Ability for domain to add a service to hwservice_manager
# and find it. It also creates a neverallow preventing
# others from adding it.
define(`add_hwservice', `
  allow $1 $2:hwservice_manager { add find };
  allow $1 hidl_base_hwservice:hwservice_manager add;
  neverallow { domain -$1 } $2:hwservice_manager add;
')

#####################################
# hal_server_domain(domain, hal_type)
# Allow a base set of permissions required for a domain to offer a
# HAL implementation of the specified type over HwBinder.
#
# For example, default implementation of Foo HAL:
#   type hal_foo_default, domain;
#   hal_server_domain(hal_foo_default, hal_foo)
#
define(`hal_server_domain', `
typeattribute $1 halserverdomain;
typeattribute $1 $2_server;
typeattribute $1 $2;
')

#####################################
# hal_client_domain(domain, hal_type)
# Allow a base set of permissions required for a domain to be a
# client of a HAL of the specified type.
#
# For example, make some_domain a client of Foo HAL:
#   hal_client_domain(some_domain, hal_foo)
#
define(`hal_client_domain', `
typeattribute $1 halclientdomain;
typeattribute $1 $2_client;

#####################################
# binder_call(clientdomain, serverdomain)
# Allow clientdomain to perform binder IPC to serverdomain.
define(`binder_call', `
# Call the server domain and optionally transfer references to it.
allow $1 $2:binder { call transfer };
# Allow the serverdomain to transfer references to the client on the reply.
allow $2 $1:binder transfer;
# Receive and use open files from the server.
allow $1 $2:fd use;
')

#####################################
# app_domain(domain)
# Allow a base set of permissions required for all apps.
define(`app_domain', `
typeattribute $1 appdomain;
# Label ashmem objects with our own unique type.
tmpfs_domain($1)
# Map with PROT_EXEC.
allow $1 $1_tmpfs:file execute;
neverallow { $1 -shell } { domain -$1 }:file no_rw_file_perms;
neverallow { appdomain -shell -$1 } $1:file no_rw_file_perms;
')

注意:在Android P版本中,系统严格限制了untrusted_app对于HIDL服务的访问权限,通过app_domain(application)定义的application,在通过hal_client_domain(application, hal_issue)成为hal_issue_client的client时与系统的never_allow冲突,解决方法是将需要访问HIDL服务的APK使用Android系统签名,同时设置platform_app对HIDL的访问权限

Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1066
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android SELinux——allow语句参数(五)
小旭的专栏
10-11 902
通过上一篇文章我们知道,TE(Type Enforcement,类型强制)的 allow 语句中主要包括主体(source)、对象(target)、类别(class)和权限(permissions),这里我们就来看一下其中的参数信息。
Android seLinux 设置
weixin_34138139的博客
03-06 432
android O上添加服务。在访问一些路径的时出现了权限的问题,将seLinux关闭之后运行成功。所以需要设置相关的权限。 参考文档: http://blog.youkuaiyun.com/tung214/article/details/72734086 主要查看dmsg中关于avc的错误,根据对应的错误在对应的文件中添加权限。 关于权限的文件位于device/xxxx/sepolicy/common目录...
Android SELinux介绍和配置
fanx9339的博客
06-22 5053
SELinux是什么? SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为每一个进程,每一个文件,每一个属性都定义了标签,用来控制进程对文件的操作的权限控制!在安卓里面,SELinux有三种状态: enforce模式:强制模式,必须有配置权限才能执行相应的访问/操作permissive模式:宽容模式,打印记录出现的越权行为,但是不禁止该访问/操作disable:关闭模式,关闭SELinux,不受SELinux权限控制...
Android SELinux配置
zxlworking1的专栏
03-06 2251
文章目录1.权限警告2.权限警告语法3.权限配置语法4.配置普通权限5.配置ioctl特殊权限6.配置新增节点权限 1.权限警告 最近在调试Androidselinux配置,主要出现了一下三种权限警告,在此记录一下 avc: denied { create } for pid=2984 comm=“test_app” path="/dev/socket" scontext=u:r:tes...
centos7安装及配置mysql
ABCDEFG
09-08 421
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 安装记录一、获取rpm包二、yum搜索三、安装mysql client四、安装mysql server五、mysql配置5.1 密码设置5.1.1 关闭mysql服务5.1.2 修改配置文件5.1.3 开启mysql服务5.1.4 空密码登录mysql5.1.5 设置mysql密码5.1.6 还原配置文件5.2 远程配置1.引入库2.读入数据总结 一、获取rpm包 rpm -ivh https://repo.mysql.com//mysq
android selinux配置
02-27
### 如何在Android上进行SELinux安全配置 #### 定义安全策略 为了增强系统的安全性,在Android设备中可以通过定义细粒度的安全策略来限制进程对文件、网络及其他资源的访问。这涉及到编写特定的应用程序域以及它们...
Android SELinux配置与安全指南
"Android Sepolicy配置指导" Android Security Enhanced Linux (简称SElinux) 是一个关键的安全组件,用于增强Android系统的安全性。自Android 4.3版本起,SElinux被引入以进一步强化应用程序沙箱的边界,它采用...
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2775
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限。
Android selinux配置和用法
makeyourprogress的博客
07-04 4119
SELINUX相关的代码目录: 1)kernel/msm-3.18/security/selinux/ 2)external/selinux/ 3)用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device//sepolicy//和system/sepolicy/,以及其他功能模块添加的配置文件。 Android中对SELINUX来说,有两个类型,一种
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
SELinux4AndroidO
02-05
该文档包含如下: m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/SELinux_Treble.pdf
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2337
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
Android SELinux
最新发布
weixin_45754428的博客
03-11 1225
MAC 权限由系统策略强制管理,即使 Root 进程也需遵守规则。,其核心目标是通过细粒度的权限策略限制进程和资源访问,即使进程拥有 Root 权限也无法绕过规则。• MAC 场景:即使恶意应用有 Root 权限,若 SELinux 策略禁止其访问。:掌握安全上下文、策略语言(TE)、调试工具链(audit2allow)。• DAC 场景:某恶意应用获取 Root 权限后,可任意删除系统文件。:多级安全(MLS)策略中的安全级别(Android 默认未启用)。,决定进程域与资源类型的访问权限。
Android 系统SELinux
jjx_fight的博客
10-22 2303
借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下:avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;
android SELinux权限适配
龚礼鹏的博客
09-29 1196
添加权限(sepolicy 1),然后编译,刷机,重新验证。这时候又遇到(sepolicy 2)的权限策略,又需要进行添加权限的设置。如果程序需要多个权限,就需要反复进行设置权限。对于将selinux设置为permission mode,分二种方法:1,执行setenforce 0命令即可。2,修改init代码,在初始化的时候设置为permission mode,不同版本方式不一样。遇到neverallow问题需要自定义权限域,如下是添加到vendor_sysfs_usb_supply权限域中。
android SElinux 总结--启用,关闭以及配置文件说明,很详细,值得学习
热门推荐
lqxandroid2012的专栏
08-21 2万+
转自 http://blog.youkuaiyun.com/bin_linux96/article/details/44993819  1. 禁止selinux  1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.bo
MTK Android为某个APP单独添加selinux配置文件
zmlovelx(帅得不敢出门 程序员群31843264)
03-15 1548
test是一个system APP, 涉及到许多个selinux的权限,不想影响所有的system APP的权限,需要单独为test设定selinux
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值