简述Android中SELinux的TE

概述一、SELinux资源访问基本概念 SELinux使用类型强制来改进强制访问控制。所有的主体（程序进程）对客体（文件/socket等资源）的访问都有一条TE规则来许可。当程序访问一个资源的时候，系统会搜索所有的TE规则集 一、SElinux资源访问基本概念

 SElinux使用类型强制来改进强制访问控制。所有的主体（程序进程）对客体（文件/socket等资源）的访问都有一条TE规则来许可。当程序访问一个资源的时候，系统会搜索所有的TE规则集，并根据结果进行处理。这个规则集是由访问向量规则（AV， Access Vector）来描述的。

内核向外部暴露允许访问的资源权限，由TE来描述主体拥有什么样的访问权。SElinux定义了30个不同的客体类别：

security process system capability filesystem file dir fd lnk_file chr_file blk_file socket_file ... 

每个客体类别都定义了 *** 作许可，比如针对file有19个 *** 作许可：

ioctl read write create getattr setattr lock relablefrom relableto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint

 这两个内容在后面介绍常用语法的时候会涉及到。所以对于file的 *** 作许可，我们可以看到基本上是对文件的 *** 作方法，所以程序调用这些功能的时候，系统会检查是否有一个TE规则，授予了该程序权限来使用该功能。

二、AndroID中的SElinux

2.1 开启SElinux

首先必须先开启SElinux功能，Google提供了开启该选项的开关。在BoardConfig.mk里面会定义如下变量：

BOARD_SEPOliCY_Dirs += build/target/board/generic/sepolicy

对应路径下面就会有很多TE文件来描述进程对资源的访问许可。

2.2 声明类型

type 类型名称 type system_app;

2.3 关联类型和属性

有两种方法可以将某个类型跟某个属性关联起来。

一，在声明类型的时候就关联已经定义的属性。

type system_app,domain;

这个就在定义system_app的时候就将它跟已经定义的domain属性关联起来了。

typeattribute platform_app mlstrustedsubject;

如果已经定义了类型platform_app，可以用typeattribute将它和已经定义的mIstrustedsubject关联起来。

注意：所有的属性和类型都共用一个命名空间，所以命名的时候不要出现同名的属性和类型哦。

三、访问向量（AV）规则

AV用来描述主体对客体的访问许可。通常有四类AV规则：

allow：表示允许主体对客体执行许可的 *** 作。

neverallow：表示不允许主体对客体执行制定的 *** 作。

auditallow： 表示允许 *** 作并记录访问决策信息。

dontaudit：表示不记录违反规则的决策信息，切违反规则不影响运行

通用的类型规则语法位：

allow platform_app deBUGfs:file { read ioctl };

表示类别为platform_app的程序进程，对deBUGfs类型的文件执行read和ioctl *** 作。

四、一些特殊的配置文件：

external/sepolicy/attributes -> 所有定义的attributes都在这个文件 external/sepolicy/access_vectors -> 对应了每一个class可以被允许执行的命令 external/sepolicy/roles -> AndroID中只定义了一个role，名字就是r，将r和attribute domain关联起来 external/sepolicy/users -> 其实是将user与roles进行了关联，设置了user的安全级别，s0为最低级是默认的级别，mls_systemHigh是最高的级别 external/sepolicy/security_classes -> 指的是上文命令中的class，个人认为这个class的内容是指在androID运行过程中，程序或者系统可能用到的 *** 作的模块 external/sepolicy/te_macros -> 系统定义的宏全在te_macros文件 external/sepolicy/*.te -> 一些配置的文件，包含了各种运行的规则

五、selinux有两种工作模式

 “permissive”：所有 *** 作都被允许（即没有MAC），但是如果有违反权限的话，会记录日志
“enforcing”：所有 *** 作都会进行权限检查

六、其他

在te文件中经常出现如下的函数：

unix_socket_connect(platform_app,agpsd,mtk_agpsd);

这个其实是一个宏。它定义在文件名为te_macros的文件里面，经过全局搜索这个宏，发现如下定义：

 unix_socket_connect(,qmuxd,qmux) allow qmux _qmuxd_socket:sock_file { getattr unlink }; ')

其实也是一个allow访问向量。

七、总结

在分析时时刻牢记，TE规则描述的是主体对客体访问的许可。TE的最小单位是类型，这个概念抽象了主体和客体。每个主体对客体执行某种许可，都需要有对应的av规则描述，否则就会失败。在实际项目过程中如果碰到相关的问题，可能就需要修改te文件，编辑相关的 *** 作许可。

总结

以上所述是小编给大家介绍的AndroID中SElinux的TE，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对编程小技巧网站的支持！

您可能感兴趣的文章:详解Android Selinux 权限及问题 总结

以上是内存溢出为你收集整理的简述Android中SELinux的TE全部内容，希望文章能够帮你解决简述Android中SELinux的TE所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。