SELinux Policy Language文章目录SELinuxpolicylanguage1,Selinux语法1 .类型2 .属性-属性2.2属性的作用2.3属性的语法和格式2.4类型与属性的关联SELinux策略规则1. AV规则分类2 .通用AV规则语法3. AV规则私钥(亮白猫)4.av规则中属性4.1特殊类型self4.2 ' -'类型否定5. AV规则中类别和许可证相关符号5.1 . 2.1通配符“5.2.2补码“~”6 .类型规则6.1通用类型规则语法6.2 type_transition -类型转换规则6.2.1类型转换规则是什么? 作用? 6.2.2 type_transition语句格式6.3 type_change -什么是类型更改规则6.3.1 type_change? 作用? 三.构建和定制SELinux战略1. SELinux战略分类2. SELinux战略配置参考
一、SELinux语法1 .类型
SELinux策略语言没有预定义的类型。 所有类型都来自声明。 因此,类型必须在使用前明确声明,缺省情况下,所有类型都将以xxx_t形式声明。 声明后,可以在TE规则、安全上下文和其他策略语句中使用。
格式: type name_t [alias别名集()以空格分隔] [属性集],以分隔符分隔]; type http_t; type httpd_user_content_t; 2 .属性-什么是- Attribute 2.1属性? SELinux策略语言属性是类型的属性或类型的性质,可以表示一组类型(一组attribute=type )。
2.2属性的作用计算机操作系统中的资源数不胜数,如果把这么多资源分类定义不同的类型,进行SELinux应该实现的访问管理(MAC ),那么应该定义的类型也是极其多的。 大型复杂的策略可能包含数以万计的表示系统上各种资源的类型。 例如,Fedoracore4(fc4 )的目标策略相对较小,但声明了800多种类型。 在定义新类型时,授予allow权限是一个单调且容易出错的过程。
由于上述情况,出现了属性,如果类型是资源的分类,则属性是类型的分类。 授予属性访问权限与授予访问者对具有该属性的所有类型资源的访问权限相同。 这意味着添加类型时,不需要手动添加箭头规则,只需要添加属性和类型关联。
2.3属性的语法和格式属性与类型共享相同的命名空间,因此两者不能具有相同的名称。 为了便于区分,属性以xxx_type格式声明。
//属性声明attribute attr_type; attribute file_type; allow backup _ tfile _ type :文件读取; 授予backup_t类型的进程对具有file_type属性的类型的文件的读取访问权限。 2.4类型和属性的关联一个类型可以具有的属性数量没有限制。 也就是说,一个类型可以具有多个属性。 相关操作有两种,格式如下。
type类型名称、属性名称; typeattribute类型名称属性名称; 如果有多个//属性,请用“,”分隔//声明相关操作1//type_t类型,同时声明相关属性attr_typetype_t、attr_type; //关联操作2//操作2的特点是类型声明和关联是分开的。 也就是说,声明和关联这两个操作可以模块化设计(分别放在一个源文件中)//,以便于设计和管理,并提供更大的语言灵活性。 type type_t; typeattribute type_t attr_type,content_type; //type_t有两个关联的属性3 .别名- Alias,用于模块更新前后的改名兼容性
type类型名称alias别名、属性名称; //多个别名用“{ }空格”分隔typealias类型名称alias别名; #这两个语句是type mozilla_t,domain; typealiasmozilla _ taliasnetscape _ t; #以下语句type mozilla_t alias netscape_t,domain; 二、SELinux策略规则SELinux策略规则可分为两类
AV规则-访问向量规则类型规则
在代码中,对象类的权限集由称为权限向量的蒙版(read、execute…)表示,因此具有术语权限向量。 1 .视听规则的分类视听规则是指根据对象类的访问权限指定其具体含义的规则,SELinux策略语言目前支持4种视听规则。
allow ) dontaudit,表示代理可以对对象执行允许的操作;不记录违反规则的决策信息;且不影响执行(不允许操作) auditallow,允许操作并记录访问决策信息
low: 表示不允许主体对客体执行指定的操作 2. 通用AV规则的语法虽然这些规则的用途不一样,但它们的基本语法是一样的,每个规则都要包含下面五个元素:
规则名称: allow,dontaudit,auditallow和neverallow源类型:授予访问的类型,通常是进程的域类型目标类型:客体的类型,它被授权可以访问的类型客体类别:客体的类别许可:表示主体对客体访问时允许的操作类型(也叫做访问向量)。一个简单的AV规则有上述这些源类型,目标类型,客体类别和许可,例如
allow user_t 甜美的镜子_t : file execute;//这个allow规则的源类型为user_t,目标类型为甜美的镜子_t,客体类别file,许可execute,//这个规则可以解读为"允许user_t类型的进程执行类型为甜美的镜子_t的文件" 3. AV规则的秘钥(开朗的白猫)在内核中,所有AV规则都是通过一组“源类型+目标类型+客体类别”组成的字段作为唯一性标识,这个组合被称为秘钥。
秘钥被当作哈希表使用,缓存在policy数据结构中,AV规则依靠秘钥存储和检索。存储用到秘钥是因为多条相同秘钥的规则通过checkpolicy进行组合,编译后只剩下一条拥有多条许可的规则。所有的AV都按照这种方式进行累加。
allow src_t obj_t : file read;allow src_t obj_t : file execute;//Key :"src_t obj_t file" 4. 在AV规则中使用属性AV规则中所有能使用类型的地方都能用属性,源类型、目标类型这两者都可以用属性表示,并且用了属性之后,一条规则语句往往在编译后会被扩展成多条规则,十分方便。并且在编译后,每一个与属性关联的类型都有一个独立的秘钥。
AV规则中可使用多类型与多属性,属性和类型支持混合组成源类型与目标类型,使用{}+空格来表示。
allow {usr_t domain} {adbd_type file_t} : file execute;// 源类型 usr_t domain 目标类型 adbd_type file_t 4.1 特殊类型self在规则语句中,self可理解为是该语句中的源类型的别名,用作目标类型,即目标类型 == 源类型。
# 这两条规则 allow user_t user_t : process signal;allow staff_t staff_t : process signal; #等于下面这一条规则 allow {user_t staff_t} self : process signal; 4.2 " - " 类型否定"-"类型否定操作符可用于移除一个属性中的某个类型。使用之后那么编译时就会去除掉那个被否定的类型,不会生成它的秘钥。
allow domain {exec_type -s甜美的镜子_t} : file execute;allow domain {-s甜美的镜子_t exec_type} : file execute; 5. AV规则中类别和许可相关写法 5.1 类别与许可列表AV规则中可包括类别和许可列表,使用“ {} + 空格 ”表示,这意味这列表中的所有许可对所有类别都有效。
allow src_t 甜美的镜子_t : {file dir} {read getattr} //这会解释成4条规则//如果许可对类别列表中的某项无效,那么规则也会无效allow src_t 甜美的镜子_t : {file dir} {read search getattr} //search许可对file类别无效 5.2 2个许可操作符 5.2.1 通配符 “ * ”通配符表示所有许可,类别列表中有与许可无效的成员也不影响其他许可的有效性。猜测是因为通配的原因,在编译的时候首先被分成n条语句,除了无效许可那条外其他都有效。
allow usr_t 甜美的镜子_t : { file dir } * ; 5.2.2 补算符 “ ~ ”补算符表示 包含所有许可,除了被~修饰的许可。
allow usr_t 甜美的镜子_t : { file dir } ~{ write setattr ioctl } ; 6. 类型规则类型规则在创建客体或在运行过程中重新标记时指定其默认类型,它仅提供一个新的默认类型标记。在策略语言中定义了两个类型规则:
type_transition:在域转换过程中标记行为发生时以及创建客体时,指定其默认的类型。type_change:使用SELinux的应用程序执行标记时指定其默认类型。我们叫这些规则为"类型规则",因为它们与AV规则类似,除了规则的末尾是一个类型名而不是许可集外。
类型规则没有allow访问权,相反,它们指定了客体创建和重新标记事件想要的默认标记策略。
6.1 通用类型规则语法与AV规则一样,每条类型规则有不同的用途和语义,但它们的语法都是通用的,每条类型规则都具有下列五项元素:
规则名称:type_transition或type_change
。
源类型:创建或拥有进程的类型
目标类型:包含新的或重新标记的客体的客体类型
客体类别:新创建的或重新标记的客体的类别
默认类型:新创建的或重新标记的客体的单个默认类型
规则名称 类型集 类型集:类别集 单个默认类型; 规则名称:类型规则的名称,有效的规则名称有type_transition,type_change和type_member。类型集:一个或多个类型或属性。在规则中源和目标类型有其独立的类型集,多个类型和属性使用空格进行分隔,并用大括号将它们括起来,如{甜美的镜子_t s甜美的镜子_t},可以在类型名前放一个(-)符合将其排除,如{exec_type –s甜美的镜子_t}。类别集:一个或多个客体类别,多个客体类别必须使用大括号括起来,并用空格分开,如{file lnk_file}。类别集:一个或多个客体类别,多个客体类别必须使用大括号括起来,并用空格分开,如{file lnk_file}。默认类型:为新创建的或重新标记的客体类别指定的单个默认类型,这里不能使用属性和多个类型- - 所有类型规则在单个策略,基础载入模块,非基础载入模块和条件语句中都有效。 6.2 type_transition - 类型转换规则 6.2.1 类型转换规则是什么?作用?
谨慎的悟空,类型转换规则用于触发某种条件时,对客体类型进行转换的一个规则。它指定了一个默认类型
6.2.2 type_transition语句格式目前有两种格式的type_transition语句
支持默认域转换事件支持客体转换,它允许我们指定默认的客体标记 6.3 type_change - 类型改变规则 6.3.1 type_change是什么?作用?使用type_change规则为重新标记客体指定默认的类型,它们用于SELinux敏感的程序如login和sshd。
与type_transition不同的是:type_change规则的影响不会在内核中生效,而是依赖于用户空间应用程序,如login或sshd
三、SELinux策略构建和客制化 1. SELinux策略的分类SELinux将策略分为两部分
平台策略 platform policy,作用是为非平台策略的作者提供特定的类型和属性。平台策略又分为private 平台私有策略:私有策略定义在/system/sepolicy/private下,private下的type和attribute对non-platform policy作者是不可见的。
public 平台公有策略:平台公有策略全部定义在/system/sepolicy/public下,public下的type和attribute可以被被导出,供以non-platform中的策略所使用。
非平台策略 non-platform policy 2. SELinux策略的组成Android8.0的SElinux策略是由/system和/vendor中的策略合并而来的。具体构建的逻辑声明在/android/stem/sepolicy/Android.mk中。
LocationContainssystem/sepolicy/public平台策略system/sepolicy/private平台策略system/sepolicy/vendor平台对vendor相关的定义BOARD_SEPOLICY_DIRS vendor策略编译器采用这种逻辑将平台和非平台策略组件分别打包到vendor和system的镜像中去。
参考Android8.0 SELinux详解
SELinux语法
解决avc-denied之设置SELinux策略