Android SELinux权限实战:从基础到高级策略定制
1. Android SELinux权限管理基础
第一次接触SELinux时,我也被它复杂的规则搞得一头雾水。记得当时为了调试一个简单的文件访问权限,整整折腾了两天。现在回头看,其实只要掌握几个核心概念,就能快速上手这个强大的安全机制。
SELinux全称Security-Enhanced Linux,是Linux内核的一个安全模块。Android在4.3版本引入后,它就成了系统安全的基石。与传统的DAC(自主访问控制)不同,SELinux采用MAC(强制访问控制)机制。简单来说,DAC就像小区门禁,只要你有门卡(权限)就能进;而SELinux更像是高级安保系统,即使你有门卡,还要核对访客名单(安全策略)才能放行。
在Android开发中,我们最常接触的是三种SELinux模式:
- Enforcing模式:严格执行所有安全策略,权限不足直接拒绝访问
- Permissive模式:只记录违规行为但不阻止,调试时特别有用
- Disabled模式:完全关闭SELinux检查
查看当前模式很简单:
adb shell getenforce # 返回Enforcing/Permissive/Disabled临时切换模式(重启失效):
adb shell setenforce 0 # 设为Permissive adb shell setenforce 1 # 设为Enforcing2. SELinux策略文件解析
2.1 核心策略文件结构
Android的SELinux策略文件主要存放在/system/etc/selinux和/vendor/etc/selinux目录。这些文件构成了完整的安全策略体系:
sepolicy/ ├── file_contexts # 文件安全上下文 ├── property_contexts # 系统属性上下文 ├── seapp_contexts # 应用分类规则 └── *.te # 类型强制规则文件其中.te文件是最常修改的,比如要给mediaserver添加权限,就要修改mediaserver.te。我有个血的教训:曾经直接修改系统原生te文件,结果OTA升级时全被覆盖了。正确做法是在device/<厂商>/sepolicy下添加自定义规则。
2.2 安全上下文详解
SELinux中每个进程和资源都有安全上下文,格式为:user:role:type:sensitivity
查看进程上下文:
adb shell ps -Z查看文件上下文:
adb shell ls -Z /data修改文件上下文(重启会失效):
adb shell chcon u:object_r:app_data_file:s0 /data/xxx永久修改需要在file_contexts中添加对应规则:
/data/xxx u:object_r:app_data_file:s03. 常见权限问题解决实战
3.1 万能调试法
遇到权限问题时,我总结了一套调试流程:
- 先抓取avc denial日志:
adb shell dmesg | grep avc- 将SELinux设为Permissive模式测试
- 根据日志生成对应allow规则
- 测试通过后固化到策略文件
比如看到这样的拒绝日志:
avc: denied { read } for pid=xxx comm="mediaserver" name="test.txt" dev="mmcblk0p4" ino=xxx scontext=u:r:mediaserver:s0 tcontext=u:object_r:unlabeled:s0 tclass=file对应的allow规则应该是:
allow mediaserver unlabeled:file read;3.2 高频权限问题案例
案例1:访问/data目录失败这是新手最常见的坑。Android对/data分区有严格限制,解决方案:
- 确保文件有正确上下文:
chcon u:object_r:app_data_file:s0 /data/xxx- 在te文件中添加:
allow your_domain app_data_file:dir { search }; allow your_domain app_data_file:file { read write };案例2:Binder服务权限添加Java Binder服务时需要:
- 在service_contexts中添加:
my_service u:object_r:my_service:s0- 创建对应的te文件:
type my_service, domain; type my_service_exec, exec_type, file_type;- 添加binder调用权限:
allow caller_domain my_service:binder { call };4. 高级策略定制技巧
4.1 条件策略与属性
SELinux支持基于条件的策略,比如:
if (my_condition) { allow domainA domainB:file read; }属性(attribute)可以简化规则管理:
attribute my_attr; type type1, my_attr; allow my_attr target_type:file { read write };4.2 策略模块化开发
从Android 8.0开始,策略分为平台和非平台两部分。建议将自定义策略放在device目录:
- 在BoardConfig.mk中配置:
BOARD_SEPOLICY_DIRS += device/my_device/sepolicy- 按功能组织te文件:
sepolicy/ ├── my_app.te ├── my_service.te └── file_contexts- 使用m4宏简化重复规则:
define(`my_app_domain', ` allow $1 my_app_data_file:dir rw_dir_perms; allow $1 my_app_data_file:file rw_file_perms; ')4.3 策略验证与编译
快速编译策略:
make -j8 selinux_policy推送策略到设备:
adb push out/target/product/xxx/system/etc/selinux /system/etc/selinux adb reboot调试时可以启用SELinux调试日志:
adb shell setprop debug.sepolicy 1记得在正式版本中关闭调试日志,以免影响性能。
5. 实战经验分享
在开发Camera HAL时,我遇到过媒体服务无法访问传感器设备的问题。通过分析avc日志发现缺少对/dev/i2c设备的访问权限。解决方案是在hal_media.te中添加:
allow hal_media sensor_device:chr_file { open read ioctl };另一个经验是善用audit2allow工具,它可以将avc日志自动转换为allow规则:
adb shell dmesg | audit2allow -R但要注意,生成的规则可能过于宽松,需要人工审核。我建议遵循最小权限原则,只开放必要的权限。
对于系统服务开发,记得在init.rc中正确设置服务的安全上下文:
service my_service /system/bin/my_service class main user system group system seclabel u:r:my_service:s0最后提醒,修改系统策略后务必进行充分测试,特别是要验证不会引入安全漏洞。可以使用CTS测试中的SELinux相关用例进行验证。