Android 应用(1)——安全策略sepolicy

原创 已于 2023-11-29 18:52:06 修改 · 3.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

于 2021-04-22 09:58:21 首次发布
本文详细介绍了SEAndroid中app的分类(untrusted_app、platform_app、system_app)、domain和type的作用,以及sepolicy配置中的标签、规则和域TypeClass。重点讲解了如何通过seapp_contexts和avc问题的解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

SEAndroid app分类

参考链接:
http://www.voidcn.com/article/p-stzeacwv-xe.html

SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):

1)untrusted_app 第三方app,没有Android平台签名,没有system权限
2)platform_app 有android平台签名,没有system权限
3)system_app 有android平台签名和system权限

从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app

查看当前运行的应用信息:

rk3399_all:/ # ps -Z
u:r:untrusted_app:s0:c512,c768   u0_a64    3208  357   1775224  120616  SyS_epoll_  76b9259b80  S  com.forlinx.changelogo

domain:untrusted_app
user:u0_a64

APP的domain和type

查看seapp_contexts文件,APP的domain和type由user和seinfo两个参数决定

system/sepolicy/seapp_contexts

isSystemServer=true domain=system_server
user=system seinfo=platform domain=system_app type=system_app_data_file
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
user=nfc seinfo=platform domain=nfc type=nfc_data_file
user=radio seinfo=platform domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell seinfo=platform domain=shell type=shell_data_file
user=_isolated domain=isolated_app levelFrom=user
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
user=_app isAutoPlayApp=true domain=autoplay_app type=autoplay_data_file levelFrom=all
user=_app isPrivApp=true domain=priv_app type=app_data_file levelFrom=user
user=_app domain=untrusted_app type=app_data_file levelFrom=user

user

参考链接:
https://blog.youkuaiyun.com/huilin9960/article/details/81530568

user可以理解为UID。android的UID和linux的UID根本是两回事,Linux的UID是用于针对多用户操作系统中用于区分用户的,而Android中的UID是用于系统进行权限管理的。
参考链接中的文章对于uid的产生讲的很清楚。

seinfo

不同签名会创建对应的selinux上下文。

Android.mk

LOCAL_CERTIFICATE := platform
有platform签名,所以seinfo是platform。

LOCAL_CERTIFICATE作用

参考文档
https://blog.youkuaiyun.com/hnlgzb/article/details/107823874

可以查看Android源码build/target/product/security/ 目录下提供的默认签名文件,不同平台可能会有差异:
T507提供了media、networkstack、platform、shared、testkey、verity六种不同权限的签名文件。
在这里插入图片描述
OK3399提供了media、platform、shared、testkey、verity五种不同权限的签名文件。
在这里插入图片描述

sepolicy配置文件

参考链接:
https://blog.youkuaiyun.com/ch853199769/article/details/82498725

device/rockchip/common/sepolicy/*.te
device/rockchip/common/sepolicy/*_contexts
system/sepolicy/*.te
system/sepolicy/*_contexts

标签、规则和域

规则采用以下形式:allow domains types:classes permissions;,其中:
Domain - 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。
Type - 一个对象(例如,文件、套接字)或一组对象的标签。
Class - 要访问的对象(例如,文件、套接字)的类型。
Permission - 要执行的操作(例如,读取、写入)。

device/rockchip/common/sepolicy/platform_app.te

# Additional rules for platform_app
allow platform_app surfaceflinger_tmpfs:file { read write };
# Write to /cache.
allow platform_app vfat:dir create_dir_perms;
allow platform_app vfat:file create_file_perms;
allow platform_app init:unix_stream_socket { connectto };
allow platform_app surfaceflinger:fifo_file rw_file_perms;
#allow platform_app property_socket:sock_file { write };
allow platform_app unlabeled:filesystem { getattr };
allow platform_app unlabeled:dir rw_dir_perms;
allow platform_app unlabeled:file rw_file_perms;
allow platform_app devicemanager_service:service_manager { find };
allow platform_app gpu_device:dir { search };
#allow platform_app property_socket:sock_file { write }
allow platform_app vfat:dir create_dir_perms;
allow platform_app vfat:file create_file_perms;
allow platform_app property_socket:sock_file write;
allow platform_app system_app_data_file:file write;
set_prop(platform_app,system_prop)
set_prop(platform_app,media_prop)
set_prop(platform_app,drm_prop)
get_prop(platform_app,ctsgts_prop)

Type Class

参考链接:
https://www.jianshu.com/p/a3572eee341c

system/sepolicy/seapp_contexts
system/sepolicy/genfs_contexts
system/sepolicy/file_contexts

avc问题(scontext tcontext)

参考链接:
https://blog.youkuaiyun.com/rikeyone/article/details/84337115

$ dmesg > /storage/0000-006F/dmesg.txt
$ cat dmesg.txt | grep avc | audit2allow

sudo apt install policycoreutils

$ cat dmesg.txt | grep avc | audit2allow
#============= fsck ==============
allow fsck zram_device:blk_file getattr;

#============= init ==============
allow init boot_block_device:lnk_file relabelto;
allow init cifsmanager_exec:dir { create setattr };
allow init recovery_block_device:lnk_file relabelto;

#============= mediaserver ==============
allow mediaserver system_server:dir search;
allow mediaserver system_server:file { open read };

#============= shell ==============
allow shell pppoe_prop:file { getattr open };
allow shell secureboot_prop:file { getattr open };

#============= system_server ==============
allow system_server media_rw_data_file:dir { getattr open read };

#============= vold ==============
allow vold ctl_bootanim_prop:property_service set;

安全策略权限的问题可能会逐步暴露出来,所以,后面可以把avc信息直接截取保存下来,使用audit2allow工具进行分析

[  103.856532] type=1400 audit(1546305219.793:10): avc: denied { write } for pid=1544 comm="ternalstoragerw" name="/" dev="sda1" ino=1 scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:vfat:s0 tclass=dir permissive=1
[  103.856775] type=1400 audit(1546305219.793:11): avc: denied { add_name } for pid=1544 comm="ternalstoragerw" name="eeeeee" scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:vfat:s0 tclass=dir permissive=1
[  103.856857] type=1400 audit(1546305219.793:12): avc: denied { create } for pid=1544 comm="ternalstoragerw" name="eeeeee" scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:vfat:s0:c512,c768 tclass=dir permissive=1

T507

u:r:priv_app:s0:c512,c768      u0_a2         5927  2322 1042108 105452 SyS_epoll_wait      0 S com.example.cam


#============= hal_camera_default ==============
allow hal_camera_default default_prop:file read;
allow hal_camera_default system_prop:file read;
Android SELinux——安全策略(三)
小旭的专栏
10-10 1343
安全标签(Security Labels):每个文件、目录、进程等都有一个安全标签。标签包含类型(Type)、角色(Role)、用户(User)和类别(Category)等信息。安全策略(Security Policies):SELinux 支持多种安全策略,包括:1)Targeted Policy:针对特定类型的系统(如服务器、桌面系统)。2)Strict Policy:更严格的策略,适用于高度安全的环境。3)MLS Policy:多级安全策略,支持多级分类的安全需求。
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 1286
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1837
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android】app调用wallpaperManager.setBitmap的隐藏权限
最新发布
aaajj的专栏
04-26 1068
其原理是从系统中获取到壁纸文件如/data/system/users/0/wallpaper的fd,然后往里面写数据,这是一个杞人忧天的问题,app中,可以通过wallpaperManager.setBitmap来设置壁纸,直接在adb shell里访问/data/system/users/0 是没有权限的,难道是有地方赋权了?app写这个fd为什么没有出现权限问题呢,应该是有赋权,但还是引起了我们的好奇,去找找看。等等,根据以往的经验,进程访问app的fd会出现selinux问题,
Android安全策略
u012378167的专栏
12-03 898
开发一款app,保证app安全很重要,别人可以通过反编译查看你的代码获得与服务器的交互的接口,攻击服务器,监听数据报文; 下面是几种方式保证app的安全性的策略: 1.代码混淆 这样可以防止反编译时看到你的代码逻辑,修改逻辑重新打包,具体可以详见http://blog.youkuaiyun.com/u012378167/article/details/49683173 2.AndroidManifest
android sepolicy 打包生成,Android Sepolicy 相关工具
weixin_39947396的博客
05-28 424
文章参考 Android 9.0 源码,以翻译为主,留做备用参考。Sepolicy 工具位于 system/sepolicy/tools/build_policies.sh为多个目标并行构建SELinux策略的工具。这对于在多个目标上快速闫增新的测试或Neveralow规则很有用。用法:./build_policies.sh ~/android/master ~/tmp/build_policie...
Android sepolicy实战演练
lidepeng139的博客
09-20 322
service.te添加type rcu_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;system_server.te中添加allow system_server default_android_service:service_manager add;service_contexts添加rcu u:object_r:rcu_service:s0。
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1036
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android SELinux——添加策略实例(十五)
小旭的专栏
10-21 673
通过前面的文章,我们基本了解在 Android 系统中 SELinux 策略配置和基本语法,这里我们就来看一些常见的问题及其解决方案。这里我们主要看通过 allow 添加策略的方案。
Android SELinux——添加新服务策略(十二)
小旭的专栏
10-17 1116
通过前面的学习我们也大致了解 SELinux 的相关只是,这里我们就来看一下实际开发中,如果需要为厂商新增的一个自定义服务添加相关权限该如何操作。
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
Android 安全防护:深度解析应用保护策略
u011464172的专栏
06-28 1220
Android 应用安全防护是一个持续的迭代过程,需要开发者不断学习,不断完善。本教程提供了一些基础的安全防护策略和方法,希望能够帮助开发者更好地理解 Android 应用安全,构建安全可靠的应用。记住,安全无小事,安全意识是保障应用安全的关键。
selinux - Android编写sepolicy
Zpeg的博客
07-20 4867
为service编写sepolicy 由init启动的service服务要在各自的selinux domain中运行。
Android系统下在te文件中为指定服务添加sepolicy权限 ~~~~mark 详细
weixin_42082222的博客
12-12 2046
Android系统下在te文件中为指定服务添加sepolicy权限 发布时间:2018-01-18 来源:网络 上传者:用户 关键字: sepolicy 指定 权限 添加 Android 文件 系统 服务 发表文章 摘要:【正文】设备在播放视频时有异常,使用Logcat查看日志时发现了如下记录:04-2714:01:59.13628252825ESELinux:avc:denied{...
Android安全策略
yangxuehui1990的专栏
12-12 2567
这篇文章是讲解Android安全策略。          Android系统的安全策略是基于安全机制的逻辑。策略的核心内容则在Java服务库的PackageManagerService中实现。从PackageManagerService.java的源码类的注释中可以看到如下的的注释:          /* * * Keep track of all those .apks everywhe
SEAndroid策略
移动编程
05-21 712
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
Android sepolicy规则
maokunlove的专栏
07-25 5539
1. 节点访问权限 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=1400 audit(1421745462.859:2172964): avc: denied { write } for pid=15848 comm=“system_server” name=“enable” dev=“sysf
android sepolicy
06-02
Android SEPolicyAndroid操作系统中的一种安全措施,它是基于SELinux(Security-Enhanced Linux)构建的。SEPolicy定义了Android系统中各个组件(如应用程序、系统服务等)间的权限和访问控制规则,从而保证系统的安全性。 SEPolicy包含多个策略文件,这些文件通常存储在/system/etc/selinux目录下。策略文件定义了各个组件的类型、角色、域以及相关的权限和访问规则。Android系统在启动时会加载这些策略文件,并根据其中定义的规则进行权限和访问控制。 SEPolicy的实现可以防止应用程序或系统服务因为程序漏洞或者恶意攻击而对系统进行破坏或者篡改。它是Android系统的重要组成部分,为Android的安全性提供了有效的保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值