Android车载开发启示录｜安全篇-固若金汤的Selinux

MAC（Mandatory Access Control，强制访问控制）是一种访问控制模型，它通过系统强制施加的安全策略来控制用户和进程对资源的访问。与常见的自主访问控制（DAC）不同，MAC并不允许用户自己决定资源的访问权限，而是由系统的安全策略严格控制和管理。MAC主要用于需要高度安全的场景中，例如军队和政府系统，确保系统内的每个用户和进程只能访问被授予的资源，且权限配置无法被普通用户更改。

在MAC模型中，每个资源（文件、进程、网络连接等）都被分配了一个安全标签或标记，而每个用户或进程也有自己的安全标签。MAC模型会根据这些标签，结合预设的访问策略，来判断是否允许某个用户或进程访问特定资源。

2. Android与SELinux

Android 4.3引入SELinux的目标是增强Android系统的安全性。

在Android的SELinux中，MAC模型用于控制应用程序和系统进程之间的访问。例如，系统可以通过SELinux策略限制某个应用访问系统资源或其他应用的数据，即使该应用拥有高权限，也只能在SELinux策略允许的范围内活动。这种机制有效降低了恶意软件的危害，防止它们随意访问系统资源。

SELinux在Android中的作用主要体现在以下几个方面：

强化安全性：保护系统和用户数据

SELinux为Android带来了更细粒度的安全控制。在引入SELinux之前，Android主要依赖自主访问控制（DAC）机制，这种机制允许应用请求权限从而访问系统资源或用户数据。而SELinux通过强制访问控制（MAC），限制了即便获得某些权限的应用，也不能随意访问特定资源。这种控制特别适用于防范恶意软件或有意泄露用户隐私的应用。

隔离应用和系统进程

SELinux可以将应用和系统进程分隔在各自的权限边界内。通过设置严格的策略，SELinux确保不同应用之间无法直接访问彼此的数据，也无法对系统的核心资源造成影响。这种隔离机制降低了应用对系统的破坏性，确保了Android系统的稳定和安全性。

控制关键系统服务的访问权限

Android中的系统服务，例如媒体服务、相机和电话等，通常具有较高的权限。在SELinux的保护下，这些服务的访问被严格控制，即使是具有root权限的进程，也仅限于预先定义的策略中允许的操作。SELinux的这种强制性控制减少了关键系统服务受到恶意攻击的风险。

运行时策略管理

SELinux在Android中可以运行在"宽容模式（Permissive）"或"强制模式（Enforcing）"。宽容模式下，SELinux仅记录违反策略的行为，适用于开发和调试；强制模式下，SELinux会严格执行策略，禁止未授权的行为，这是生产环境的标准配置。Android 5.0版本及以上默认启用SELinux强制模式，以确保系统的运行安全。

提供安全日志与审计功能

SELinux为Android系统提供了详细的安全日志记录。每当某个进程尝试执行未授权的操作时，SELinux都会生成审计日志，帮助开发者和系统管理员识别并修正潜在的安全问题。这些日志为后续的安全分析提供了重要数据，可以帮助改进和优化SELinux策略。

3.SELinux的三种模式

SELinux有三种模式，它们分别提供不同级别的安全控制，适用于系统的不同需求。

禁用模式（Disabled）

在这种模式下，SELinux被完全关闭，系统不加载任何SELinux策略。禁用模式下，系统只依赖传统的自主访问控制（DAC）机制来管理权限，没有强制访问控制的保护。禁用模式并不推荐使用，因为它会导致系统暴露于潜在的安全风险之下。

宽容模式（Permissive）

在宽容模式下，SELinux会加载并执行安全策略，但不会阻止任何操作。相反，它会记录所有违反策略的操作，将其记录为日志信息。这种模式常用于开发和调试，帮助开发者了解哪些操作可能违反SELinux策略。宽容模式能够帮助识别和调整策略，而不影响系统的正常运行，但不适合生产环境，因为并未真正阻止未授权的操作。

适用场景：开发和调试阶段，测试新策略或检查权限问题。
命令查看 ：adb shell getenforce 输出 Permissive 表示系统处于宽容模式。

强制模式（Enforcing）

强制模式是SELinux在生产环境中的标准配置。在该模式下，SELinux严格执行所有安全策略，任何不符合策略的操作都会被立即阻止，并记录在日志中。强制模式可以有效限制未授权的操作，为系统提供强有力的安全保障。自Android 5.0以来，Google默认将Android设备的SELinux配置为强制模式，以保证系统的安全性。

适用场景：生产环境和正式发布版本，确保应用和系统进程的权限被严格控制。
命令查看 ：adb shell getenforce 输出 Enforcing 表示系统处于强制模式。

切换SELinux模式的命令

在开发和调试阶段，管理员可以通过以下命令切换SELinux模式（需要root权限）：

bash 复制代码

# 切换到宽容模式
setenforce 0

# 切换到强制模式
setenforce 1

4. SELinux的工作原理

以下是SELinux在Android中的一个典型工作流程：

一个应用进程尝试读取系统文件（比如/system/data）。
SELinux检查该进程的安全上下文，假设它的类型是untrusted_app。
SELinux检查系统文件的安全上下文，假设其类型是system_data_file。
SELinux在策略文件中检查是否允许untrusted_app访问system_data_file。
如果策略未授权该访问，SELinux会阻止该操作并在日志中记录"avc: denied"信息。

SELinux在Android中涉及到如下概念：安全上下文、策略文件、类型强制

安全上下文（Security Context）

每个进程、文件、设备、网络接口等在SELinux中都有一个安全上下文。安全上下文包含了标签，用于标记对象和操作的类型，帮助SELinux识别和控制权限。通常，安全上下文由以下部分组成：

用户（User）：指执行进程或访问资源的用户角色。
角色（Role）：规定了用户的权限范围，限定用户可以使用的资源。
类型（Type）：定义了进程、文件和资源的具体类型，类型强制（Type Enforcement）是SELinux控制权限的核心部分。
敏感度（Sensitivity）：用来描述安全级别，帮助细化访问控制。

策略文件（Policy Files）

SELinux策略文件是控制访问权限的核心配置。它们定义了每个安全上下文之间的交互关系，例如哪些进程可以访问哪些文件、使用哪些系统资源等。常见的SELinux策略文件包括：

sepolicy：SELinux的主策略文件，涵盖了系统和应用的权限控制规则。
file_contexts：规定文件和目录的安全上下文。
service_contexts：定义了系统服务的安全上下文。

在Android设备启动时，系统会加载策略文件，并将相应的安全上下文应用于每个资源。管理员也可以在开发过程中自定义这些策略文件，以满足不同应用场景的需求。

类型强制（Type Enforcement）

类型强制（Type Enforcement, TE）是SELinux在Android中工作的核心机制。每个进程和资源都被赋予一个特定的"类型"，SELinux通过策略文件定义不同类型间的访问权限。类型强制确保了即使具有高权限的应用或进程，也只能在类型策略允许的范围内进行访问。

例如，假设文件类型为"app_data_file"，进程类型为"untrusted_app"，如果策略未允许"untrusted_app"类型的进程访问"app_data_file"，SELinux会阻止该进程的操作。

策略执行

Android中的SELinux通常运行在强制模式（Enforcing），确保所有操作都经过策略验证，任何不符合策略的操作都会被阻止。Android系统会在开机时加载SELinux策略，并根据策略规则对进程进行管理。SELinux支持两种执行模式：

宽容模式（Permissive）：仅记录违规行为而不阻止操作，适合测试和调试。
强制模式（Enforcing）：严格执行SELinux策略，阻止任何违规操作，是生产环境的推荐模式。

当进程尝试访问资源时，SELinux会通过以下过程来进行权限判断：

安全上下文检查：SELinux读取该进程和目标资源的安全上下文。
匹配策略规则：根据策略文件中的规则，确定进程是否有权限进行该操作。
日志记录：如果操作被拒绝，SELinux会将相关信息记录到系统日志中，以便管理员检查和分析。

例如，如果一个应用尝试读取系统文件而未获得授权，SELinux会阻止这一操作并在日志中记录详细的"拒绝访问"信息。

日志与审计

SELinux在Android系统中的审计功能非常强大。系统会记录所有的访问违规行为到日志中，常见的日志信息包括avc: denied（访问控制被拒绝）。审计日志是解决SELinux权限问题的主要依据，开发者可以使用adb logcat | grep "avc: denied"命令来查看拒绝访问的详细信息。

对于开发人员来说，利用日志分析工具如audit2allow可以将日志中的拒绝事件转换成策略语句，用于生成允许访问的策略条目。但在生产环境中，管理员应尽量避免通过放宽策略来绕过权限控制，以确保系统安全。

5.配置和管理SELinux策略

配置和管理SELinux策略在Android系统中相对复杂，但可以通过自定义策略文件和工具来实现。SELinux策略管理的目的是制定合适的权限规则，以确保系统的安全性，并限制应用程序对资源的访问。

下面介绍下配置和管理SELinux策略的关键步骤和工具

SELinux策略文件概述

在Android中，SELinux策略文件通常包含在AOSP（Android Open Source Project）源码中。常见的策略文件有：

sepolicy：主策略文件，定义系统的访问控制规则。
file_contexts：定义文件和目录的安全上下文。
service_contexts：定义系统服务的安全上下文。
property_contexts：定义系统属性的安全上下文。

这些文件位于/system/etc/selinux/目录下，开发者可以在源码中自定义这些策略文件，编译后部署到设备上。

基本配置步骤

配置SELinux策略需要修改或添加相应的策略规则，以适应应用和系统服务的需求。以下是基本的配置步骤：

(1)创建和编辑策略文件

在AOSP中，可以通过在system/sepolicy目录下添加或修改.te文件来定义策略规则。例如，要为一个新的应用定义权限规则，可以创建一个新的.te文件，并指定应用的上下文和权限。

bash 复制代码

# example_app.te
type example_app, domain;
allow example_app example_file:dir { read write };

这条规则允许名为example_app的应用读取和写入example_file目录。

(2) 定义安全上下文

为了让SELinux识别新应用或服务，需在file_contexts和service_contexts文件中定义其安全上下文。例如，要定义/data/example文件的上下文，可以在file_contexts文件中添加如下规则：

bash 复制代码

/data/example(/.*)? u:object_r:example_data_file:s0

这样，/data/example目录及其子目录都将分配到example_data_file上下文。

(3) 编译和部署

完成策略编辑后，可以通过编译AOSP源码来生成更新的sepolicy文件。然后将新策略文件刷写到设备中，通常位于/system/etc/selinux/目录下。

调试SELinux策略

配置SELinux策略后，通常需要进行测试和调试，确保策略规则设置合理。调试SELinux策略主要有以下几个步骤：

(1) 查看SELinux日志

使用adb logcat | grep "avc: denied"命令查看被拒绝的操作。每当某个操作被SELinux阻止时，系统会生成avc: denied日志，显示被拒绝的进程、资源和操作。

(2)使用audit2allow：

audit2allow工具可以将日志中的denied信息转换为相应的策略语句。这在调试阶段非常有用，帮助开发者生成允许访问的规则，但生产环境应慎用。

perl 复制代码

# 生成策略规则
adb logcat | grep "avc: denied" | audit2allow -M mycustompolicy

(3)在宽容模式下测试

在强制模式（Enforcing）下，所有未授权操作会被阻止，而在宽容模式（Permissive）下，系统只记录违规操作而不阻止它们。在测试策略时，可以通过setenforce 0将SELinux临时切换到宽容模式，确认策略设置的效果。

te文件编写

在编写.te文件时，需要遵循特定的语法和规则，以确保SELinux能够正确解析并执行这些策略。以下是编写.te文件的基本规则：

声明类型（Type Declaration）

每个进程、文件、目录等资源在SELinux中都有一个类型，类型是SELinux策略的核心。首先需要为你的应用或资源声明类型。

bash 复制代码

type example_app, domain;
type example_data_file, file_type;

example_app为进程类型，用domain来指定。
example_data_file为文件类型，用file_type来指定。

允许规则（allow）

allow语句是.te文件中最常见的规则，定义了允许一个类型对另一个类型执行的操作。

xml 复制代码

allow <subject_type> <object_type>:<class> <permissions>;

subject_type：发起操作的类型（如进程的类型）
object_type：操作目标的类型（如文件的类型）
class：对象的类别（如文件、目录、进程等）
permissions：允许的具体权限（如读、写、执行等）

比如：允许example_app类型的进程对example_data_file类型的目录执行读取和写入操作。

arduino 复制代码

allow example_app example_data_file:dir { read write };

角色规则（Role Rules）

角色控制用户能执行的操作，通常用于定义域间的访问规则。常见的写法如下：

ini 复制代码

role example_role types example_app;

上述规则将角色example_role与example_app类型的域关联，使得该角色下的用户可以使用example_app类型的进程。

特权规则（Attribute）

属性是一种标签，用于将多个类型分组，便于权限管理。例如，可以创建一个data_file_type属性，分配给多个文件类型，这样就能为所有数据文件统一设置权限。

ini 复制代码

# 定义属性
attribute data_file_type;

# 分配属性
typeattribute example_data_file data_file_type;

# 使用属性
allow example_app data_file_type:file { read write };

在上述规则中，example_app可以对所有具有data_file_type属性的文件执行读写操作。

类型转换规则（type_transition）

类型转换用于自动将一个对象分配特定类型。例如，当example_app类型的进程在某目录中创建新文件时，可以自动将这些新文件标记为example_data_file类型。

css 复制代码

type_transition example_app example_dir:file example_data_file;

当example_app类型的进程在example_dir目录下创建文件时，自动将新文件分配为example_data_file类型。

示例

下面一个完整的.te文件示例，展示了如何为example_app进程配置权限和上下文：

ini 复制代码

# 定义进程类型和文件类型
type example_app, domain;
type example_data_file, file_type;

# 允许example_app类型的进程读取、写入example_data_file类型的文件
allow example_app example_data_file:dir { read write };

# 自动将example_app进程在/data/example目录中创建的文件分配为example_data_file类型
type_transition example_app example_data_file:file example_data_file;

# 定义角色
role example_role types example_app;

注意事项

策略最小化：尽量制定最小化的权限策略，避免授予不必要的权限。策略越精细，系统越安全。
生产环境谨慎放宽策略 ：audit2allow生成的规则应仔细审查后再应用到生产环境，以避免意外放宽系统权限。
频繁测试与审计：SELinux策略配置完成后，应进行定期测试和审计，以确保策略配置的有效性和安全性。

SELinux的挑战和未来

虽然SELinux为Android带来了显著的安全性提升，但它也增加了系统配置的复杂性。每个版本的Android都在不断优化SELinux，以更好地兼顾安全性和性能。未来，随着Android系统的逐步完善，SELinux将在增强系统防护方面发挥越来越重要的作用。

参考

SELinux 概念 source.android.com/docs/securi...

SELinux实现 source.android.com/docs/securi...

SELinux验证 source.android.com/docs/securi...

Android SELinux开发多场景实战指南 blog.csdn.net/tkwxty/arti...