Android车载开发启示录|安全篇-固若金汤的Selinux

前言

笔者在从事Android车载行业的开发过程中,发现Android车载开发和平时的Android开发还是有很大不同之处,对于一个小白来说或者说如果是刚入行的新人都会很陌生,目前市场也没有很多系统性的知识提供给大家。

所以笔者准备通过一个专栏系列,把自己在车载开发过程中的学习记录和开发经验记录下来并分享出来,希望能给大家带来一些帮助。

在第一篇内容,笔者介绍了Android车载操作系统现状、整个操作系统架构和架构下核心概念:

Android车载开发启示录(一)

第二篇内容,笔者介绍了Android Automotive操作系统中的一个关键组件CarFramework

Android车载开发启示录(二)

第三篇,笔者介绍音频焦点相关的知识,为后续介绍音频相关的内容打好基础

Android车载开发启示录(三)

第四篇,笔者介绍了车载音频系统架构、CarAudioManager和CarAudioService和多音区音频

Android车载开发启示录(四)

另外笔者也开启了主线之外的番外系列:

概念篇:Android车载开发启示录|番外篇-概念之中

语音篇:Android车载开发启示录|语音篇-全局在胸

在Android车载环境下,SELinux的角色隔离、类型强制和严格的访问控制帮助系统实现了高水平的安全性。通过合理配置SELinux策略,车载系统能够有效保护用户数据、系统资源,并为多个用户提供安全、隔离的环境。

SELinux已经成为Android车载环境下不可或缺的安全保障机制,提升了车载系统的整体可靠性。

本篇博客介绍下SELinux在Android中的运用:

  • SELinux简介
  • Android与SELinux
  • SELinux的三种模式
  • SELinux的工作原理
  • 配置和管理SELinux策略

1. SELinux简介

SELinux最早由美国国家安全局(NSA)开发,旨在通过精细的权限控制提高Linux系统的安全性。SELinux采用**强制访问控制(MAC)**模型,确保即便是具有root权限的进程,也无法随意访问敏感资源。

MAC(Mandatory Access Control,强制访问控制)是一种访问控制模型,它通过系统强制施加的安全策略来控制用户和进程对资源的访问。与常见的自主访问控制(DAC)不同,MAC并不允许用户自己决定资源的访问权限,而是由系统的安全策略严格控制和管理。MAC主要用于需要高度安全的场景中,例如军队和政府系统,确保系统内的每个用户和进程只能访问被授予的资源,且权限配置无法被普通用户更改。

MAC模型中,每个资源(文件、进程、网络连接等)都被分配了一个安全标签或标记,而每个用户或进程也有自己的安全标签。MAC模型会根据这些标签,结合预设的访问策略,来判断是否允许某个用户或进程访问特定资源。

2. Android与SELinux

Android 4.3引入SELinux的目标是增强Android系统的安全性。

在Android的SELinux中,MAC模型用于控制应用程序和系统进程之间的访问。例如,系统可以通过SELinux策略限制某个应用访问系统资源或其他应用的数据,即使该应用拥有高权限,也只能在SELinux策略允许的范围内活动。这种机制有效降低了恶意软件的危害,防止它们随意访问系统资源。

SELinux在Android中的作用主要体现在以下几个方面:

强化安全性:保护系统和用户数据

SELinux为Android带来了更细粒度的安全控制。在引入SELinux之前,Android主要依赖自主访问控制(DAC)机制,这种机制允许应用请求权限从而访问系统资源或用户数据。而SELinux通过强制访问控制(MAC),限制了即便获得某些权限的应用,也不能随意访问特定资源。这种控制特别适用于防范恶意软件或有意泄露用户隐私的应用。

隔离应用和系统进程

SELinux可以将应用和系统进程分隔在各自的权限边界内。通过设置严格的策略,SELinux确保不同应用之间无法直接访问彼此的数据,也无法对系统的核心资源造成影响。这种隔离机制降低了应用对系统的破坏性,确保了Android系统的稳定和安全性。

控制关键系统服务的访问权限

Android中的系统服务,例如媒体服务、相机和电话等,通常具有较高的权限。在SELinux的保护下,这些服务的访问被严格控制,即使是具有root权限的进程,也仅限于预先定义的策略中允许的操作。SELinux的这种强制性控制减少了关键系统服务受到恶意攻击的风险。

运行时策略管理

SELinux在Android中可以运行在"宽容模式(Permissive)"或"强制模式(Enforcing)"。宽容模式下,SELinux仅记录违反策略的行为,适用于开发和调试;强制模式下,SELinux会严格执行策略,禁止未授权的行为,这是生产环境的标准配置。Android 5.0版本及以上默认启用SELinux强制模式,以确保系统的运行安全。

提供安全日志与审计功能

SELinux为Android系统提供了详细的安全日志记录。每当某个进程尝试执行未授权的操作时,SELinux都会生成审计日志,帮助开发者和系统管理员识别并修正潜在的安全问题。这些日志为后续的安全分析提供了重要数据,可以帮助改进和优化SELinux策略。

3.SELinux的三种模式

SELinux有三种模式,它们分别提供不同级别的安全控制,适用于系统的不同需求。

禁用模式(Disabled)

在这种模式下,SELinux被完全关闭,系统不加载任何SELinux策略。禁用模式下,系统只依赖传统的自主访问控制(DAC)机制来管理权限,没有强制访问控制的保护。禁用模式并不推荐使用,因为它会导致系统暴露于潜在的安全风险之下。

宽容模式(Permissive)

在宽容模式下,SELinux会加载并执行安全策略,但不会阻止任何操作。相反,它会记录所有违反策略的操作,将其记录为日志信息。这种模式常用于开发和调试,帮助开发者了解哪些操作可能违反SELinux策略。宽容模式能够帮助识别和调整策略,而不影响系统的正常运行,但不适合生产环境,因为并未真正阻止未授权的操作。

  • 适用场景:开发和调试阶段,测试新策略或检查权限问题。
  • 命令查看adb shell getenforce 输出 Permissive 表示系统处于宽容模式。

强制模式(Enforcing)

强制模式是SELinux在生产环境中的标准配置。在该模式下,SELinux严格执行所有安全策略,任何不符合策略的操作都会被立即阻止,并记录在日志中。强制模式可以有效限制未授权的操作,为系统提供强有力的安全保障。自Android 5.0以来,Google默认将Android设备的SELinux配置为强制模式,以保证系统的安全性。

  • 适用场景:生产环境和正式发布版本,确保应用和系统进程的权限被严格控制。
  • 命令查看adb shell getenforce 输出 Enforcing 表示系统处于强制模式。

切换SELinux模式的命令

在开发和调试阶段,管理员可以通过以下命令切换SELinux模式(需要root权限):

bash 复制代码
# 切换到宽容模式
setenforce 0

# 切换到强制模式
setenforce 1

4. SELinux的工作原理

以下是SELinux在Android中的一个典型工作流程:

  1. 一个应用进程尝试读取系统文件(比如/system/data)。
  2. SELinux检查该进程的安全上下文,假设它的类型是untrusted_app
  3. SELinux检查系统文件的安全上下文,假设其类型是system_data_file
  4. SELinux在策略文件中检查是否允许untrusted_app访问system_data_file
  5. 如果策略未授权该访问,SELinux会阻止该操作并在日志中记录"avc: denied"信息。

SELinux在Android中涉及到如下概念:安全上下文、策略文件、类型强制

安全上下文(Security Context)

每个进程、文件、设备、网络接口等在SELinux中都有一个安全上下文。安全上下文包含了标签,用于标记对象和操作的类型,帮助SELinux识别和控制权限。通常,安全上下文由以下部分组成:

  • 用户(User):指执行进程或访问资源的用户角色。
  • 角色(Role):规定了用户的权限范围,限定用户可以使用的资源。
  • 类型(Type):定义了进程、文件和资源的具体类型,类型强制(Type Enforcement)是SELinux控制权限的核心部分。
  • 敏感度(Sensitivity):用来描述安全级别,帮助细化访问控制。

策略文件(Policy Files)

SELinux策略文件是控制访问权限的核心配置。它们定义了每个安全上下文之间的交互关系,例如哪些进程可以访问哪些文件、使用哪些系统资源等。常见的SELinux策略文件包括:

  • sepolicy:SELinux的主策略文件,涵盖了系统和应用的权限控制规则。
  • file_contexts:规定文件和目录的安全上下文。
  • service_contexts:定义了系统服务的安全上下文。

在Android设备启动时,系统会加载策略文件,并将相应的安全上下文应用于每个资源。管理员也可以在开发过程中自定义这些策略文件,以满足不同应用场景的需求。

类型强制(Type Enforcement)

类型强制(Type Enforcement, TE)是SELinux在Android中工作的核心机制。每个进程和资源都被赋予一个特定的"类型",SELinux通过策略文件定义不同类型间的访问权限。类型强制确保了即使具有高权限的应用或进程,也只能在类型策略允许的范围内进行访问。

例如,假设文件类型为"app_data_file",进程类型为"untrusted_app",如果策略未允许"untrusted_app"类型的进程访问"app_data_file",SELinux会阻止该进程的操作。

策略执行

Android中的SELinux通常运行在强制模式(Enforcing),确保所有操作都经过策略验证,任何不符合策略的操作都会被阻止。Android系统会在开机时加载SELinux策略,并根据策略规则对进程进行管理。SELinux支持两种执行模式:

  • 宽容模式(Permissive):仅记录违规行为而不阻止操作,适合测试和调试。
  • 强制模式(Enforcing):严格执行SELinux策略,阻止任何违规操作,是生产环境的推荐模式。

当进程尝试访问资源时,SELinux会通过以下过程来进行权限判断:

  1. 安全上下文检查:SELinux读取该进程和目标资源的安全上下文。
  2. 匹配策略规则:根据策略文件中的规则,确定进程是否有权限进行该操作。
  3. 日志记录:如果操作被拒绝,SELinux会将相关信息记录到系统日志中,以便管理员检查和分析。

例如,如果一个应用尝试读取系统文件而未获得授权,SELinux会阻止这一操作并在日志中记录详细的"拒绝访问"信息。

日志与审计

SELinux在Android系统中的审计功能非常强大。系统会记录所有的访问违规行为到日志中,常见的日志信息包括avc: denied(访问控制被拒绝)。审计日志是解决SELinux权限问题的主要依据,开发者可以使用adb logcat | grep "avc: denied"命令来查看拒绝访问的详细信息。

对于开发人员来说,利用日志分析工具如audit2allow可以将日志中的拒绝事件转换成策略语句,用于生成允许访问的策略条目。但在生产环境中,管理员应尽量避免通过放宽策略来绕过权限控制,以确保系统安全。

5.配置和管理SELinux策略

配置和管理SELinux策略在Android系统中相对复杂,但可以通过自定义策略文件和工具来实现。SELinux策略管理的目的是制定合适的权限规则,以确保系统的安全性,并限制应用程序对资源的访问。

下面介绍下配置和管理SELinux策略的关键步骤和工具

SELinux策略文件概述

在Android中,SELinux策略文件通常包含在AOSP(Android Open Source Project)源码中。常见的策略文件有:

  • sepolicy:主策略文件,定义系统的访问控制规则。
  • file_contexts:定义文件和目录的安全上下文。
  • service_contexts:定义系统服务的安全上下文。
  • property_contexts:定义系统属性的安全上下文。

这些文件位于/system/etc/selinux/目录下,开发者可以在源码中自定义这些策略文件,编译后部署到设备上。

基本配置步骤

配置SELinux策略需要修改或添加相应的策略规则,以适应应用和系统服务的需求。以下是基本的配置步骤:

(1)创建和编辑策略文件

在AOSP中,可以通过在system/sepolicy目录下添加或修改.te文件来定义策略规则。例如,要为一个新的应用定义权限规则,可以创建一个新的.te文件,并指定应用的上下文和权限。

bash 复制代码
# example_app.te
type example_app, domain;
allow example_app example_file:dir { read write };

这条规则允许名为example_app的应用读取和写入example_file目录。

(2) 定义安全上下文

为了让SELinux识别新应用或服务,需在file_contextsservice_contexts文件中定义其安全上下文。例如,要定义/data/example文件的上下文,可以在file_contexts文件中添加如下规则:

bash 复制代码
/data/example(/.*)? u:object_r:example_data_file:s0

这样,/data/example目录及其子目录都将分配到example_data_file上下文。

(3) 编译和部署

完成策略编辑后,可以通过编译AOSP源码来生成更新的sepolicy文件。然后将新策略文件刷写到设备中,通常位于/system/etc/selinux/目录下。

调试SELinux策略

配置SELinux策略后,通常需要进行测试和调试,确保策略规则设置合理。调试SELinux策略主要有以下几个步骤:

(1) 查看SELinux日志

使用adb logcat | grep "avc: denied"命令查看被拒绝的操作。每当某个操作被SELinux阻止时,系统会生成avc: denied日志,显示被拒绝的进程、资源和操作。

(2)使用audit2allow

audit2allow工具可以将日志中的denied信息转换为相应的策略语句。这在调试阶段非常有用,帮助开发者生成允许访问的规则,但生产环境应慎用。

perl 复制代码
# 生成策略规则
adb logcat | grep "avc: denied" | audit2allow -M mycustompolicy

(3)在宽容模式下测试

在强制模式(Enforcing)下,所有未授权操作会被阻止,而在宽容模式(Permissive)下,系统只记录违规操作而不阻止它们。在测试策略时,可以通过setenforce 0将SELinux临时切换到宽容模式,确认策略设置的效果。

te文件编写

在编写.te文件时,需要遵循特定的语法和规则,以确保SELinux能够正确解析并执行这些策略。以下是编写.te文件的基本规则:

声明类型(Type Declaration)

每个进程、文件、目录等资源在SELinux中都有一个类型,类型是SELinux策略的核心。首先需要为你的应用或资源声明类型。

bash 复制代码
type example_app, domain;
type example_data_file, file_type;
  • example_app为进程类型,用domain来指定。
  • example_data_file为文件类型,用file_type来指定。
允许规则(allow)

allow语句是.te文件中最常见的规则,定义了允许一个类型对另一个类型执行的操作。

xml 复制代码
allow <subject_type> <object_type>:<class> <permissions>;
  • subject_type:发起操作的类型(如进程的类型)
  • object_type:操作目标的类型(如文件的类型)
  • class:对象的类别(如文件、目录、进程等)
  • permissions:允许的具体权限(如读、写、执行等)

比如:允许example_app类型的进程对example_data_file类型的目录执行读取和写入操作。

arduino 复制代码
allow example_app example_data_file:dir { read write };
角色规则(Role Rules)

角色控制用户能执行的操作,通常用于定义域间的访问规则。常见的写法如下:

ini 复制代码
role example_role types example_app;

上述规则将角色example_roleexample_app类型的域关联,使得该角色下的用户可以使用example_app类型的进程。

特权规则(Attribute)

属性是一种标签,用于将多个类型分组,便于权限管理。例如,可以创建一个data_file_type属性,分配给多个文件类型,这样就能为所有数据文件统一设置权限。

ini 复制代码
# 定义属性
attribute data_file_type;

# 分配属性
typeattribute example_data_file data_file_type;

# 使用属性
allow example_app data_file_type:file { read write };

在上述规则中,example_app可以对所有具有data_file_type属性的文件执行读写操作。

类型转换规则(type_transition)

类型转换用于自动将一个对象分配特定类型。例如,当example_app类型的进程在某目录中创建新文件时,可以自动将这些新文件标记为example_data_file类型。

css 复制代码
type_transition example_app example_dir:file example_data_file;

example_app类型的进程在example_dir目录下创建文件时,自动将新文件分配为example_data_file类型。

示例

下面一个完整的.te文件示例,展示了如何为example_app进程配置权限和上下文:

ini 复制代码
# 定义进程类型和文件类型
type example_app, domain;
type example_data_file, file_type;

# 允许example_app类型的进程读取、写入example_data_file类型的文件
allow example_app example_data_file:dir { read write };

# 自动将example_app进程在/data/example目录中创建的文件分配为example_data_file类型
type_transition example_app example_data_file:file example_data_file;

# 定义角色
role example_role types example_app;

注意事项

  • 策略最小化:尽量制定最小化的权限策略,避免授予不必要的权限。策略越精细,系统越安全。
  • 生产环境谨慎放宽策略audit2allow生成的规则应仔细审查后再应用到生产环境,以避免意外放宽系统权限。
  • 频繁测试与审计:SELinux策略配置完成后,应进行定期测试和审计,以确保策略配置的有效性和安全性。

SELinux的挑战和未来

虽然SELinuxAndroid带来了显著的安全性提升,但它也增加了系统配置的复杂性。每个版本的Android都在不断优化SELinux,以更好地兼顾安全性和性能。未来,随着Android系统的逐步完善,SELinux将在增强系统防护方面发挥越来越重要的作用。

参考

SELinux 概念 source.android.com/docs/securi...

SELinux实现 source.android.com/docs/securi...

SELinux验证 source.android.com/docs/securi...

Android SELinux开发多场景实战指南 blog.csdn.net/tkwxty/arti...

相关推荐
测试小工匠8 分钟前
移动端自动化环境搭建_Android
android·运维·自动化
大风吹PP凉13 分钟前
45系统调用与内核API
java·linux·服务器
黑客Ela22 分钟前
linux 网络安全不完全笔记
网络·安全·web安全·网络安全
gma99933 分钟前
【shell编程】函数、正则表达式、文本处理工具
linux·c++·正则表达式·bash
liuyunluoxiao37 分钟前
Linux基本指令【Linux系统】
linux
黑客呀42 分钟前
网络安全设备Bypass
网络·安全·web安全
岛屿旅人42 分钟前
2025-2026财年美国CISA国际战略规划(下)
网络·人工智能·安全·web安全·网络安全
永乐春秋1 小时前
WEB攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全
安全·中间件
我是唐青枫1 小时前
Linux ss 命令详解
linux·运维·服务器
legend_jz1 小时前
【Linux】线程的互斥和同步
linux·运维·服务器·开发语言·笔记·学习·学习方法