SElinux策略文件配置
经过前面的一大堆理论的学习,我们知道,还需要编写相关的规则文件,才能通过 SElinux 的检测
Selinux权限配置及安全上下文文件目录:
编译selinux_policy
所以在device下搜索emulator_x86_64的关键字,因为device是产品配置相关的目录:
上面导入的是build/make/target/board/emulator_x86_64/BoardConfig.mk,于是需要在这个文件中配置sepolicy所在的路径,这样系统可以将其加入编译到selinux_policy
编译
编译后会得到两个结果
第一个:上下文标签
第二个:编译后的二进制策略文件precompiled_sepolicy
但是,这个文件是放在哪个目录下呢:请用以下指令搜索
dzz@ubuntu:~/aosp/out/target/product/emulator_x86_64$ find . -name "precompiled_sepolicy" ./obj/ETC/precompiled_sepolicy_intermediates/precompiled_sepolicy ./vendor/etc/selinux/precompiled_sepolicy dzz@ubuntu:~/aosp/out/target/product/emulator_x86_64$可以得到的是./vendor/etc/selinux/precompiled_sepolicy
避免遗漏,把整个 selinux 文件push 到android 模拟器上面就好
调试
查看sedemo_dev设备文件的上下文标签
ls -laZ /dev/sedemo_dev_dzz
为什么不是前面定义的标签?(sedemo_dev_dzz_t)
显然,通过restorecon切换,上下文标签已经是我们定义的了
但是这样麻烦,我们期望他能自己切换域;添加一句即可
domain_auto_trans(shell, sedemo_dt_exec, sedemo_dt)
因为切换进程域的时候,如果是由shell指令去切换,将切换成对应的sedemo_dt这个域,sedemo_dt_exec是类型
然后继续编译:
make selinux_policy -j16然后重复上面的push:
adb push out/target/product/emulator_x86_64/vendor/etc/selinux /vendor/etc/
重启设备,让系统根据file_contexts的内容自动打标签:
adb reboot
运行
//如果不是宽容模式,先切换到宽容模式(为方便调试) setenforce 0 touch /dev/sedemo_dev_dzz restorecon /dev/sedemo_dev_dzz ls -lZ /dev/sedemo_dev_dzz ls -lZ /vendor/bin/sedemo_dzz开两个终端,左边抓log ,右边运行,先在宽容模式下调试logcat | grep "avc" | grep -E "sedemo_dzz|sedemo"
做到之后,使用 audit2allow 转换为 allow
先安装audit2allow sudo apt install policycoreutils-python-utils 屏蔽以下4个语句 : sudo vim /usr/bin/audit2allow //打开文件,屏蔽以下几行 350 self.__parse_options() |~ 351 #if self.__options.policy: |~ 352 # audit2why.init(self.__options.policy) |~ 353 #else: |~ 354 # audit2why.init() 转换成te策略: audit2allow -i avc.txt > hello.te
运行转换后的结果
加到te 文件,重新编译
make selinux_policy -j16
adb reboot
重启完成后,就可以使用强制模式执行了
setenforce 1 //切换到强制模式 getenforce runcon u:r:sedemo_dt:s0 /vendor/bin/sedemo_dzz
可以看到代码中的死循环没有退出,另一个终端,也能看到文件写入的内容了
