Selinux简介
SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Android分为宽容模式(仅记录但不强制执行 SELinux 安全政策 )和强制模式(强制执行并记录安全政策。如果失败,则显示为 EPERM 错误。 );在选择强制执行级别时只能二择其一。
Selinux模式:
Enforce模式:打印异常log,拒绝请求。没有权限的请求被拒绝后 执行就会有问题。
Permissive模式:打印异常log,不拒绝请求。请求没被拒绝,执行不会出现问题。
设置SELinux:
adb shell setenforce 0 //设置后即Permissive
adb shell setenforce 1 //设置后即Enforcing
这种设置,在某些版本下需要root权限。
Selinux实际报错日志
这次遇到的问题,就是软件的串口通讯问题。这个软件在debug版系统上,运行的挺好的,切换到user系统上,通讯就会失败,会遇到权限问题导致通讯失败。日志如下:
05-14 10:24:00.144 2773 2773 I test.app: type=1400 audit(0.0:1079): avc: denied { ioctl } for path="socket:[43620]" dev ="sockfs" ino=43620 ioctlcmd=0x8933 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:r:platform_app:s0:c512,c768 tclass=socket permissive=0
分析
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0
添加规则
allow scontext tcontext:tclass denied
添加权限
在device/mediatek/sepolicy/bsp/non_plat/platform_app.te(备注:本项目是9.0MTK6765,请依据自己项目具体定位添加位置,一般处于system/sepolicy/或device/qcom/sepolicy/)中添加:
allow platform_app platform_app:socket ioctl;
实际情况
正常情况按照上面那么加权限就行啦,但是。。。
在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便
而ioctl就是谷歌在9.0上重点限制的部分权限。这部分就是串口和通讯相关权限。
如果直接加上面的权限,会直接报错。相关修改见此博客,讲的挺好:
Android P系统编译报错SELinux违反Neverallow
最终处理方案
别的博客里的处理方案修改代码过多,而且容易连带改出其他BUG。因为我司设备有加密芯片,限制严格,我就准备从宽容模式入手,将USER版系统的Selinux模式改为宽容模式,允许通过这部分权限,来解决问题。
源码分析
system/core/init/selinux.cpp
system/core/init/main.cpp
核心代码在俩个文件内,大概流程如下:
①:main.cpp中的main函数调用selinux.cpp中的SetupSelinux:
int main(int argc, char** argv) {
...省略
if (!strcmp(argv[1], "selinux_setup")) {
return SetupSelinux(argv);
}
...省略
}
②:selinux.cpp中SetupSelinux函数实现如下:
int SetupSelinux(char** argv) {
...省略
SelinuxInitialize();
...省略
return 1;
}
③:SetupSelinux调用了SelinuxInitialize方法。SelinuxInitialize方法代码如下:
void SelinuxInitialize() {
...省略
bool kernel_enforcing = (security_getenforce() == 1);
//判断是否强制模式
bool is_enforcing = IsEnforcing();
if (kernel_enforcing != is_enforcing) {
//调用security_setenforce函数,和setenforce原理一样
if (security_setenforce(is_enforcing)) {
PLOG(FATAL) << "security_setenforce(%s) failed" << (is_enforcing ? "true" : "false");
}
}
...省略
}
④:IsEnforcing方法实现如下:
bool IsEnforcing() {
if (ALLOW_PERMISSIVE_SELINUX) {
return StatusFromCmdline() == SELINUX_ENFORCING;
}
return true;
}
⑤:从IsEnforcing中可以知道,如果一直返回false,那么将会关闭selinux。
最终修改,即全局强制关闭selinux:
bool IsEnforcing() {
if(1 > 0) {
return false;
}
if (ALLOW_PERMISSIVE_SELINUX) {
return StatusFromCmdline() == SELINUX_ENFORCING;
}
return true;
}
价格1>0的判断是因为直接return false会导致系统编译不通过,不信邪的朋友可以尝试一下。
结语
自此,这个BUG算是处理完了,又学到了很多新知识,关于Selinux,关于安卓的安全防御机制。
如果你能从这篇博客中获取到有用的东西,点个赞。