关键字: android, selinux, getenforce, setenforce, audit2allow
20180817 tjy
转载请注明出处
Android在4.3引入selinux, 当时工作上需要了解并解决一些selinux的问题, 这里总结一下涉及到的selinux的一些东西,不是普及性的文章, 只是记录和穿针引线的作用。
- logcat日志
如果某些可执行文件或者app或者文件访问的selinux没有设置好, 会在logcat中打印一些类似的日志, 这个时候需要对这些异常添加selinux权限了。
01-15 09:38:34.248 35 35 I kworker/0:1: type=1400 audit(0.0:23): avc: denied { search } for name="/" dev="mmcblk0p34" ino=2 scontext=u:r:kernel:s0 tcontext=u:object_r:persist_file:s0 tclass=dir permissive=1
01-15 09:38:38.468 1382 1382 I iptables-wrappe: type=1400 audit(0.0:26): avc: denied { read write } for path="socket:[18709]" dev="sockfs" ino=18709 scontext=u:r:netutils_wrapper:s0 tcontext=u:r:netmgrd:s0 tclass=netlink_socket permissive=1
01-15 09:38:47.128 410 410 I HwBinder:410_2: type=1400 audit(0.0:27): avc: denied { read } for name="class" dev="sysfs" ino=10 scontext=u:r:hal-server:s0 tcontext=u:object_r:sysfs:s0 tclass=dir permissive=1
01-15 09:38:47.128 410 410 I HwBinder:410_2: type=1400 audit(0.0:28): avc: denied { open } for path="/sys/class" dev="sysfs" ino=10 scontext=u:r:hal-server:s0 tcontext=u:object_r:sysfs:s0 tclass=dir permissive=1
01-15 09:38:48.768 880 880 I BootAnimation: type=1400 audit(0.0:29): avc: denied { dac_override } for capability=1 scontext=u:r:bootanim:s0 tcontext=u:r:bootanim:s0 tclass=capability permissive=1
01-15 09:38:54.208 3214 3214 I m.android.phone: type=1400 audit(0.0:33): avc: denied { open } for path="/dev/__properties__/u:object_r:lab_prop:s0" dev="tmpfs" ino=9703 scontext=u:r:radio:s0 tcontext=u:object_r:lab_prop:s0 tclass=file permissive=1
- permissive 和 enforce
如上面的日志所示, 日志以 permissive=1结尾,permissive=1 表示device处于permissive模式, 操作会被执行,但是logcat会打印这些日志, 一般用来调试。
如果手机当前处于enforce模式,则日志会以permissive=0结尾,日志里面描述的操作不会被执行,调试添加selinux权限后,需要在enforce模式下验证结果。
- setenforce 和 getenforce
setenforce 0 设置device进入 enforce模式。
setenforce 1 设置device进入 permissive模式。
getenforce 查看当前处于何种模式。
device-name:/system/bin # getenforce
getenforce
Permissive
device-name:/system/bin # setenforce 1
setenforce 1
device-name:/system/bin # getenforce
getenforce
Enforcing
device-name:/system/bin #
- file context
在 android代码中对可执行文件/一般文件/app/sysfs 定义了file context, 即它们的selinux域,
#from http://androidxref.com/8.1.0_r33/xref/device/google/dragon/sepolicy/file_contexts
# block devices
/dev/block/platform/700b0600\.sdhci/by-name/UDA u:object_r:userdata_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/CAC u:object_r:cache_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/MD1 u:object_r:metadata_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/APP u:object_r:system_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/PST u:object_r:frp_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/recovery u:object_r:recovery_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/KERN-A u:object_r:boot_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/KERN-B u:object_r:boot_block_device:s0
/dev/block/platform/700b0600\.sdhci/by-name/MSC u:object_r:misc_block_device:s0
/dev/block/zram0 u:object_r:swap_block_device:s0
/dev/block/mmcblk0rpmb u:object_r:rpmb_block_device:s0
# /dev
/dev/dri/card0 u:object_r:gpu_device:s0
/dev/dri/controlD64 u:object_r:gpu_device:s0
# system executables
/system/bin/init_regions\.sh u:object_r:locale_exec:s0
/system/bin/tune-thermal-gov\.sh u:object_r:thermal_gov_exec:s0
/system/bin/dump_bq25892\.sh u:object_r:dump_bq25892_exec:s0
/system/bin/touchfwup\.sh u:object_r:touch_fw_update_exec:s0
/system/bin/rmi4update u:object_r:rmi4update_exec:s0
/system/bin/fwtool u:object_r:fwtool_exec:s0
# vendor executables
/vendor/bin/hw/android\.hardware\.dumpstate@1\.0-service.dragon u:object_r:hal_dumpstate_impl_exec:s0
# logs for touch firmware update
/data/misc/touchfwup(/.*)? u:object_r:touch_fw_update_log_file:s0
selinux域里面又定义了selinux的权限,权限包含read/write/...。
#from http://androidxref.com/8.1.0_r33/xref/device/google/dragon/sepolicy/fwtool.te
# permissions for /system/bin/fwtool
type fwtool, domain, device_domain_deprecated;
type fwtool_exec, exec_type, file_type;
init_daemon_domain(fwtool)
# access /dev/mtd/*
allow fwtool mtd_device:dir search;
allow fwtool mtd_device:chr_file rw_file_perms;
- ls -Z
对于可执行文件, 通过 ls -Z 命令可以查看其selinux域。
device-name:/system/bin # ls -Z
u:object_r:system_file:s0 acpi
u:object_r:adbd_exec:s0 adbd
u:object_r:system_file:s0 am
u:object_r:system_file:s0 app_process
u:object_r:zygote_exec:s0 app_process32
u:object_r:system_file:s0 applypatch
u:object_r:system_file:s0 appops
u:object_r:system_file:s0 appwidget
u:object_r:system_file:s0 arping
u:object_r:system_file:s0 art
u:object_r:atrace_exec:s0 atrace
u:object_r:audioserver_exec:s0 audioserver
u:object_r:system_file:s0 base64
u:object_r:system_file:s0 basename
u:object_r:system_file:s0 bcc
u:object_r:blkid_exec:s0 blkid
u:object_r:system_file:s0 blockdev
u:object_r:system_file:s0 bmgr
u:object_r:bootanim_exec:s0 bootanimation
u:object_r:system_file:s0 bootctl
u:object_r:bootstat_exec:s0 bootstat
u:object_r:system_file:s0 brctl
u:object_r:bt_logger_exec:s0 bt_logger
u:object_r:system_file:s0 bu
u:object_r:system_file:s0 bunzip2
u:object_r:system_file:s0 bzcat
u:object_r:system_file:s0 bzip2
u:object_r:system_file:s0 cal
u:object_r:system_file:s0 cat
u:object_r:system_file:s0 chcon
u:object_r:system_file:s0 chgrp
u:object_r:system_file:s0 chmod
u:object_r:system_file:s0 chown
u:object_r:system_file:s0 chroot
u:object_r:system_file:s0 chrt
...
那么问题来了,源码编译可执行文件的时候, 没有对这个可执行文件定义selinux域,然后添加了可执行文件的selinux域,编译boot.img(selinux域是放在boot.img里面的,而可执行文件一般放在system.img或者vendor.img),把boot.img更新到手机里面(这种情况即更新了selinux域的定义,但是没有更新可执行文件), 此时,更新的selinux域不会在这个可执行文件上面生效。
我记得当时在集成一个feature的时候犯了这个错误。
- audit2allow
面对logcat日志里面一对selinux异常,挨个写allow语句太麻烦了,可以试试audit2allow工具, 具体用法请咨询百度。
