SELinux走过的坑

linux通过UID/GID机制对权限进行管理，将文件的权限划分为读、写和执行三种，分别用字母r、w和x表示。每一个文件有三组读、写和执行权限，分别是针对“文件的所有者”、“文件所有者所属的组”以及其它用户。
在linux系统中，我们想完全操作某个文件，只需要执行sudo chmod 777 filename 即可。这表示root用户拥有无限大的权限，可以操作系统中的任何文件。
所以在安卓系统中，引入了SELinux用以提升系统安全性。

一、常用命令

SELinux模式有三种，Enforcing强制模式、Permissive宽容模式与Disabled完全禁用。
区别是Enforcing强制模式中，SELinux是起作用，而Permissive宽容模式SELinux不起作用，仅输出权限拒绝日志。

查看SELinux模式命令：getenforce
更改SELinux模式命令：setenforce 1 设置为Enforcing
                  setenforce 0 设置为Permissive

安卓中快速编译sepolicy并验证，需要本地代码整编过一次，已经生成out目录之后。（这里我遇到一个问题，这样编过几次之后，再去整编的时候就会报image out of space的错误，暂时不知道原因。）

$ mmma system/sepolicy/
$ adb push out/target/product/xxx/system/etc/selinux /system/etc/selinux
$ adb push out/target/product/xxx/vendor/etc/selinux /vendor/etc/selinux

也可单编systemimage，并刷机

$ make systemimage
$ adb reboot bootloader
$ fastboot flash system ./system.img
$ fastboot reboot

二、SELinux基本概念

1、如何配置SEpolicy

在分析安卓系统问题看日志时，会有同学好奇以下日志的含义：

05-25 18:51:22.421  7419  7419 W logcat  : type=1400 audit(0.0:1319): 
avc: denied { write } for name="syslog" 
dev="mmcblk0p87" ino=31476 scontext=u:r:logpersist:s0 
tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

这是linux的审计信息，简单的来说该日志可以理解为：logpersist想要访问system_data_file的dir目录，缺少了write写权限。
这是因为SELinux权限限制了，通过配置sepolicy即可通过。
如果想要简单配置sepolicy权限，则需要在logpersist.te文件下，设置以下allow：

allow  logpersist  system_data_file:dir  write;

但当加上“allow”语句之后，编译会报错，这是因为谷歌设置了neverallow，不允许我们针对“logpersist”与“system_data_file”添加allow语句。
为了解决这一问题，更加详细的了解一下SELinux。

2、了解

SEAndroid安全机制中的安全策略就是在“安全上下文”的基础上进行描述的， 它通过主体和客体的安全上下文，定义主体是否有权限访问客体。
以上述日志举例，主体 scontext就是u:r:logpersist:s0，客体tcontext是u:object_r:system_data_file:s0。该错误日志表示主体没有对客体的write权限，其中tclass=dir表示客体的类型为文件夹。

1. Domain：u:r:logpersist:s0是一个“域”，它是一个进程或一组进程的标签。
2. Type：u:object_r:system_data_file:s0是一个“对象标签”，它是一个对象或一组对象的标签。
3. Class：dir 是客体的类型。（dir是文件夹，file是文件...）
4. Permission：write 是缺少的权限。

以下语句表示，允许“logpersist进程”对所属“system_data_file”的文件件类型为文件夹“dir”进行“write”操作。

allow  logpersist  system_data_file:dir  write;

3、安全上下文

安全上下文由“SELinux用户”、“SELinux角色”、“类型”、“安全级别” 四部分组成，格式为“user:role:type:sensitivity”。
进程的安全上下文：用户固定为 u，角色固定为 r。如：u:r:logpersist:s0
文件的安全上下文：用户固定为 u，角色固定为 obejct_r。如：u:object_r:system_data_file:s0
安全级别：可以选择启用或者不启用，通常在进程及文件的安全上下文中安全级别都设置为s0。

进程的安全上下文的类型称为Domain，文件的安全上下文中的类型称为Type。

三、如何应对neverallow

在system/sepolicy/private/logpersist.te与system/sepolicy/prebuilts/api/29.0/private/logpersist.te中配置以下allow语句并编译，会报neverallow的错。

allow  logpersist  system_data_file:dir  write;

这表示谷歌不允许我们使用allow语句，解除限制的最暴力方法就是将报错处的neverallow语句删掉，这样确实可行，但是会过不了cts。
由于我们要访问的目录path为/data/syslog，将该目录定义成自己的Type
可以自定义Type，如下：
在file.te中自定义一个type为file_type，data_file_type，core_data_file_type：（应该只需要定义为file_type即可，我没有测试：）

type log_data_file, file_type, data_file_type, core_data_file_type;

在file_contexts中定义安全上下文：

/data/syslog(/.*)?            u:object_r:log_data_file:s0

将allow语句改为：

allow  logpersist  log_data_file to  write;

然后在logpersist.te中单独将自定义的log_data_file减去即可。(这里最好的是自定义一个service代替logpersist，那就要新建一个te文件了，比较麻烦)

neverallow logpersist {
  file_type
  userdebug_or_eng(`-misc_logd_file -coredump_file')
  with_native_coverage(`-method_trace_data_file')
  -log_data_file
}:file { create write append };

四：参考文献

1：https://blog.csdn.net/weixin_42082222/article/details/85239018
2：https://blog.csdn.net/ch853199769/article/details/82498725
3：https://blog.csdn.net/weixin_42082222/article/details/85239018