Android 中的安全增強(qiáng)型 Linux
作為 Android 安全模型的一部分腔剂,Android 使用安全增強(qiáng)型 Linux (SELinux) 對(duì)所有進(jìn)程強(qiáng)制執(zhí)行強(qiáng)制訪問(wèn)控制 (MAC)前硫,其中包括以 Root/超級(jí)用戶權(quán)限運(yùn)行的進(jìn)程(Linux 功能)拖吼。很多公司和組織都為 Android 的 SELinux 實(shí)現(xiàn)做出了貢獻(xiàn)惊来。借助 SELinux巨坊,Android 可以更好地保護(hù)和限制系統(tǒng)服務(wù)矾兜、控制對(duì)應(yīng)用數(shù)據(jù)和系統(tǒng)日志的訪問(wèn)寸宵、降低惡意軟件的影響,并保護(hù)用戶免遭移動(dòng)設(shè)備上的代碼可能存在的缺陷的影響术幔。
SELinux 按照默認(rèn)拒絕的原則運(yùn)行:任何未經(jīng)明確允許的行為都會(huì)被拒絕另萤。SELinux 可按兩種全局模式運(yùn)行:
- 寬容模式:權(quán)限拒絕事件會(huì)被記錄下來(lái),但不會(huì)被強(qiáng)制執(zhí)行诅挑。
- 強(qiáng)制模式:權(quán)限拒絕事件會(huì)被記錄下來(lái)并強(qiáng)制執(zhí)行四敞。
Android 中包含 SELinux(處于強(qiáng)制模式)和默認(rèn)適用于整個(gè) AOSP 的相應(yīng)安全政策。在強(qiáng)制模式下拔妥,非法操作會(huì)被阻止目养,并且嘗試進(jìn)行的所有違規(guī)行為都會(huì)被內(nèi)核記錄到 dmesg 和 logcat 中。開(kāi)發(fā)時(shí)毒嫡,您應(yīng)該在實(shí)施軟件和 SELinux 政策之前癌蚁,利用這些錯(cuò)誤信息先對(duì)其進(jìn)行優(yōu)化。如需了解詳情兜畸,請(qǐng)參閱實(shí)現(xiàn) SELinux努释。
此外,SELinux 還支持基于域的寬容模式咬摇。在這種模式下伐蒂,可將特定域(進(jìn)程)設(shè)為寬容模式,同時(shí)使系統(tǒng)的其余部分處于強(qiáng)制全局模式肛鹏。域簡(jiǎn)單來(lái)說(shuō)就是安全政策中用于標(biāo)識(shí)一個(gè)進(jìn)程或一組進(jìn)程的標(biāo)簽逸邦,安全政策會(huì)以相同的方式對(duì)待所有具有相同域標(biāo)簽的進(jìn)程恩沛。借助特定域?qū)捜菽J剑芍饾u將 SELinux 應(yīng)用于系統(tǒng)中越來(lái)越多的部分缕减,還可以為新服務(wù)制定政策(同時(shí)確保系統(tǒng)的其余部分處于強(qiáng)制模式)雷客。
背景
<devsite-heading text="背景" for="background" level="h2" link="" toc="" class="" back-to-top=""></devsite-heading>
Android 安全模型部分基于應(yīng)用沙盒的概念。每個(gè)應(yīng)用都在自己的沙盒內(nèi)運(yùn)行桥狡。在 Android 4.3 之前的版本中搅裙,這些沙盒是通過(guò)為每個(gè)應(yīng)用創(chuàng)建獨(dú)一無(wú)二的 Linux UID(在應(yīng)用安裝時(shí)創(chuàng)建)來(lái)定義的。 Android 4.3 及更高版本使用 SELinux 進(jìn)一步定義 Android 應(yīng)用沙盒的邊界裹芝。
在 Android 5.0 及更高版本中部逮,已全面強(qiáng)制執(zhí)行 SELinux(基于 Android 4.3(寬容模式)和 Android 4.4(部分強(qiáng)制模式))。 通過(guò)此項(xiàng)變更嫂易,Android 已從對(duì)有限的一組關(guān)鍵域(installd兄朋、netd、vold 和 zygote)強(qiáng)制執(zhí)行 SELinux 轉(zhuǎn)為對(duì)所有域(超過(guò) 60 個(gè)域)強(qiáng)制執(zhí)行 SELinux怜械。具體而言:
- 在 Android 5.x 及更高版本中蜈漓,所有域均處于強(qiáng)制模式。
-
init以外的任何進(jìn)程都不應(yīng)在init域中運(yùn)行宫盔。 - 如果出現(xiàn)任何常規(guī)拒絕事件(對(duì)于
block_device、socket_device享完、default_service等)灼芭,都表示設(shè)備需要一個(gè)特殊域。
Android 6.0 通過(guò)降低我們政策的權(quán)限強(qiáng)化了系統(tǒng)安全般又,從而實(shí)現(xiàn)更好的用戶隔離和 IOCTL 過(guò)濾彼绷、降低可從設(shè)備/系統(tǒng)之外訪問(wèn)的服務(wù)面臨的威脅、進(jìn)一步強(qiáng)化 SELinux 域茴迁,以及高度限制對(duì) /proc 的訪問(wèn)寄悯。
Android 7.0 更新了 SELinux 配置,以進(jìn)一步鎖定應(yīng)用沙盒并減少受攻擊面堕义。此版本還將單片式 mediaserver 堆棧拆分為較小的進(jìn)程猜旬,以縮小其權(quán)限范圍。如需了解詳情倦卖,請(qǐng)參閱利用更多的 Linux 內(nèi)核防護(hù)功能保護(hù) Android 系統(tǒng)和媒體堆棧安全強(qiáng)化洒擦。
Android 8.0 更新了 SELinux 以與 Treble 配合使用,后者可將較低級(jí)別的供應(yīng)商代碼與 Android 系統(tǒng)框架分離開(kāi)來(lái)怕膛。此版本更新了 SELinux 政策以允許設(shè)備制造商和 SOC 供應(yīng)商更新自己的政策部分熟嫩、構(gòu)建自己的映像(vendor.img、boot.img 等)褐捻,然后更新這些映像而不受平臺(tái)影響掸茅,反之亦然椅邓。
雖然可以在設(shè)備上運(yùn)行更高/更新版本的平臺(tái)(框架),但反之并不成立昧狮;供應(yīng)商映像 (vendor.img/odm.img) 的版本不能高于平臺(tái) (system.img) 的版本景馁。因此,較新版平臺(tái)可能會(huì)帶來(lái) SELinux 兼容性問(wèn)題陵且,因?yàn)槠脚_(tái) SELinux 政策的版本要比該政策的供應(yīng)商 SELinux 部分更新裁僧。Android 8.0 模型提供了一種保持兼容性的方法,以免進(jìn)行不必要的同時(shí) OTA慕购。
其他資源
<devsite-heading text="其他資源" for="supporting_documentation" level="h2" link="" toc="" class="" back-to-top=""></devsite-heading>
如需關(guān)于構(gòu)建實(shí)用 SELinux 政策的幫助聊疲,請(qǐng)參閱以下資源:
Security Enhancements for Linux(針對(duì) Linux 的安全增強(qiáng)功能)
The SELinux Notebook, 4th Edition(SELinux 手冊(cè)第 4 版)
SELinux Object Classes and Permissions Reference(SELinux 對(duì)象類和權(quán)限參考)
Implementing SELinux as a Linux Security Module(將 SELinux 作為 Linux 安全模塊實(shí)現(xiàn))
Configuring the SELinux Policy(配置 SELinux 政策)
GNU M4 - GNU Macro Processor Manual(GNU M4 - GNU 宏處理器手冊(cè))
Your visual how-to guide for SELinux policy enforcement(有關(guān)強(qiáng)制執(zhí)行 SELinux 政策的直觀操作指南)
