SELinux文件访问安全策略和app权限配置


 

基于android6.0版本的SELinux文件访问安全策略

在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。

 

1.linux传统设备文件访问控制方法

传统的 Linux设备文件访问控制机制通过设置用户权限来实现.

 

2.SElinux采用主体对客体的强制访问控制

SELinux 拥有三个基本的操作模式

 

3.类型强制(TE)访问控制

举例如下: 此处输入图片的描述

这个规则解释如下: 拥有域类型user_t的进程可以读/执行或获取具有bin_t类型的文件客体的属性.

 

4.如何排除SELinux安全策略引起的问题

a. 首先排除DAC权限的问题,使用“ls –l”检查相关文件的属主和权限。如果DAC的权限许可,则就是SELinux的策略显式地拒绝了当前操作的执行。 b. 通过“setenforce 0”命令进入permissive模式(getenforce命令查看模式)。此操作可暂时关闭selinux强制访问控制,可直接进行调试,若此时操作还是不允许,则与selinux无关。 c. 通过“adb shell dmesg | grep avc > avc_log.txt”查看 AVC log,在android6.0 版本中,这个用的最多。从分析失败操作相应的AVC Denied Msg入手区分问题的根源,以下为一条拒绝信息: d. 使用 external/selinux/prebuilts/bin/audit2allow tool 直接生成policy.

 

即可自动输出生成的policy

此处输入图片的描述 可在/device/qcom/sepolicy/common/untrusted_app.te文件中增加如下语句解决此问题: allow untrusted_app sysfs_irdev : file { write };

 


 

SELinux app权限配置

 

1.SEAndroid app分类

SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):

1)untrusted_app 第三方app,没有Android平台签名,没有system权限 2)platform_app 有android平台签名,没有system权限

3)system_app 有android平台签名和system权限

从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app

user=system seinfo=platform,domain才是system_app

user=_app,可以是untrusted_app或platform_app,如果seinfo=platform,则是platform_app。

app对应的te文件

https://www.zybuluo.com/guhuizaifeiyang/note/772144