Android khuyến khích nhà sản xuất thiết bị gốc (OEM) kiểm thử kỹ lưỡng việc triển khai SELinux. Khi triển khai SELinux, nhà sản xuất nên áp dụng chính sách mới cho một nhóm thiết bị thử nghiệm trước.
Sau khi áp dụng chính sách mới, hãy đảm bảo SELinux đang chạy ở chế độ chính xác trên thiết bị bằng cách đưa ra lệnh getenforce
.
Thao tác này sẽ in chế độ SELinux chung: Thực thi hoặc Cho phép. Để xác định chế độ SELinux cho mỗi miền, bạn phải kiểm tra các tệp tương ứng hoặc chạy phiên bản sepolicy-analyze
mới nhất bằng cờ (-p
) thích hợp, có trong /platform/system/sepolicy/tools/
.
Đọc thông báo từ chối
Kiểm tra các lỗi, được định tuyến dưới dạng nhật ký sự kiện đến dmesg
và logcat
, đồng thời có thể xem được trên thiết bị. Các nhà sản xuất nên kiểm tra dữ liệu đầu ra SELinux sang dmesg
trên các thiết bị này, đồng thời tinh chỉnh các chế độ cài đặt trước khi phát hành công khai ở chế độ không bắt buộc và cuối cùng là chuyển sang thực thi chế độ. Thông điệp nhật ký SELinux chứa avc:
và do đó có thể dễ dàng tìm thấy bằng grep
. Bạn có thể ghi lại các nhật ký từ chối đang diễn ra bằng cách chạy cat /proc/kmsg
hoặc ghi lại các nhật ký từ chối từ lần khởi động trước bằng cách chạy cat /sys/fs/pstore/console-ramoops
.
Thông báo lỗi SELinux được giới hạn tốc độ sau khi khởi động xong để tránh làm ngập nhật ký. Để đảm bảo bạn thấy tất cả các thông báo có liên quan, bạn có thể tắt tính năng này bằng cách chạy adb shell auditctl -r 0
.
Với kết quả này, nhà sản xuất có thể dễ dàng xác định thời điểm người dùng hoặc thành phần hệ thống vi phạm chính sách SELinux. Sau đó, nhà sản xuất có thể khắc phục hành vi xấu này bằng cách thay đổi phần mềm, chính sách SELinux hoặc cả hai.
Cụ thể, các thông điệp nhật ký này cho biết những quy trình sẽ không thành công ở chế độ thực thi và lý do. Dưới đây là ví dụ:
avc: denied { connectto } for pid=2671 comm="ping" path="/dev/socket/dnsproxyd" scontext=u:r:shell:s0 tcontext=u:r:netd:s0 tclass=unix_stream_socket
Diễn giải kết quả này như sau:
-
{ connectto }
ở trên thể hiện hành động đang được thực hiện. Cùng vớitclass
ở cuối (unix_stream_socket
), cột này cho bạn biết đại khái những việc đang được thực hiện. Trong trường hợp này, đã xảy ra sự cố nào đó đang cố kết nối với một ổ cắm luồng Unix. -
scontext (u:r:shell:s0)
cho bạn biết ngữ cảnh nào đã khởi tạo hành động. Trong trường hợp này, đây là một ứng dụng chạy dưới dạng shell. -
tcontext (u:r:netd:s0)
cho bạn biết bối cảnh của mục tiêu của hành động. Trong trường hợp này, đó là một unix_stream_socket thuộc sở hữu củanetd
. -
comm="ping"
ở trên cùng sẽ cung cấp cho bạn thêm gợi ý về nội dung đang chạy tại thời điểm tạo thông báo từ chối. Trong trường hợp này, đây là một gợi ý khá tốt.
Một ví dụ khác:
adb shell su root dmesg | grep 'avc: '
Kết quả:
<5> type=1400 audit: avc: denied { read write } for pid=177 comm="rmt_storage" name="mem" dev="tmpfs" ino=6004 scontext=u:r:rmt:s0 tcontext=u:object_r:kmem_device:s0 tclass=chr_file
Sau đây là các yếu tố chính trong quyết định từ chối này:
- Hành động – hành động đã thực hiện được đánh dấu trong dấu ngoặc vuông,
read write
hoặcsetenforce
. - Actor (Thực thể) – Mục
scontext
(ngữ cảnh nguồn) đại diện cho thực thể, trong trường hợp này là trình nềnrmt_storage
. - Object (Đối tượng) – Mục
tcontext
(ngữ cảnh mục tiêu) biểu thị cho đối tượng đang được thực hiện, trong trường hợp này là kmem. - Kết quả – Mục
tclass
(lớp mục tiêu) cho biết loại đối tượng đang được xử lý, trong trường hợp này làchr_file
(thiết bị ký tự).
Kết xuất ngăn xếp người dùng và nhân
Trong một số trường hợp, thông tin trong nhật ký sự kiện không đủ để xác định nguồn gốc của thông báo từ chối. Thông thường, bạn nên thu thập chuỗi lệnh gọi, bao gồm cả hạt nhân và không gian người dùng, để hiểu rõ hơn về lý do xảy ra trường hợp từ chối.
Các hạt nhân gần đây xác định một điểm theo dõi có tên avc:selinux_audited
. Sử dụng simpleperf
của Android để bật điểm theo dõi này và ghi lại chuỗi lệnh gọi.
Cấu hình được hỗ trợ
- Nhân hệ điều hành Linux >= 5.10, cụ thể là các nhánh mainline và android12-5.10 của Android Common Kernel được hỗ trợ.
Nhánh android12-5.4 cũng được hỗ trợ. Bạn có thể dùng
simpleperf
để xác định xem điểm theo dõi đã được xác định trên thiết bị của mình hay chưa:adb root && adb shell simpleperf list | grep avc:selinux_audited
. Đối với các phiên bản kernel khác, bạn có thể chọn các phiên bản anh đào có các cam kết dd81662 và 30969bc. - Bạn có thể tái tạo sự kiện mà bạn đang gỡ lỗi. Sự kiện thời gian khởi động không được hỗ trợ bằng Simpleperf. Tuy nhiên, bạn vẫn có thể khởi động lại dịch vụ để kích hoạt sự kiện đó.
Ghi lại chuỗi lệnh gọi
Bước đầu tiên là ghi lại sự kiện bằng simpleperf record
:
adb shell -t "cd /data/local/tmp && su root simpleperf record -a -g -e avc:selinux_audited"
Sau đó, sự kiện gây ra trường hợp từ chối sẽ được kích hoạt. Sau đó, quá trình ghi sẽ dừng lại. Trong ví dụ này, bằng cách sử dụng Ctrl-c
, bạn đã thu thập được mẫu:
^Csimpleperf I cmd_record.cpp:751] Samples recorded: 1. Samples lost: 0.
Cuối cùng, bạn có thể sử dụng simpleperf report
để kiểm tra dấu vết ngăn xếp đã thu thập.
Ví dụ:
adb shell -t "cd /data/local/tmp && su root simpleperf report -g --full-callgraph" [...] Children Self Command Pid Tid Shared Object Symbol 100.00% 0.00% dmesg 3318 3318 /apex/com.android.runtime/lib64/bionic/libc.so __libc_init | -- __libc_init | -- main toybox_main toy_exec_which dmesg_main klogctl entry_SYSCALL_64_after_hwframe do_syscall_64 __x64_sys_syslog do_syslog selinux_syslog slow_avc_audit common_lsm_audit avc_audit_post_callback avc_audit_post_callback
Chuỗi lệnh gọi ở trên là một chuỗi lệnh gọi nhân và không gian người dùng hợp nhất. Tính năng này giúp bạn có được thông tin chi tiết hơn về luồng mã bằng cách bắt đầu theo dõi từ không gian người dùng cho đến hạt nhân nơi xảy ra trường hợp từ chối. Để biết thêm thông tin về simpleperf
, hãy xem Tài liệu tham khảo về lệnh có thể thực thi của Simpleperf
Chuyển sang chế độ cho phép
Bạn có thể tắt hoạt động thực thi SELinux bằng adb trên các bản dựng userdebug hoặc eng. Để thực hiện việc này, trước tiên, hãy chuyển ADB sang trạng thái gốc bằng cách chạy adb root
. Sau đó, để tắt tính năng thực thi SELinux, hãy chạy:
adb shell setenforce 0
Hoặc tại dòng lệnh hạt nhân (trong quá trình khởi động thiết bị ban đầu):
androidboot.selinux=permissive
androidboot.selinux=enforcing
Hoặc thông qua bootconfig trong Android 12:
androidboot.selinux=permissive
androidboot.selinux=enforcing
Sử dụng audit2allow
Công cụ audit2allow
nhận dmesg
từ chối và chuyển đổi chúng thành các câu lệnh chính sách SELinux tương ứng. Do đó, công cụ này có thể giúp đẩy nhanh đáng kể quá trình phát triển SELinux.
Để sử dụng, hãy chạy:
adb pull /sys/fs/selinux/policy
adb logcat -b events -d | audit2allow -p policy
Tuy nhiên, bạn phải cẩn thận kiểm tra từng quyền bổ sung tiềm ẩn để đảm bảo không cấp quyền vượt quá giới hạn. Ví dụ: việc cung cấp cho audit2allow
lệnh từ chối rmt_storage
đã hiển thị trước đó sẽ dẫn đến câu lệnh chính sách SELinux được đề xuất sau đây:
#============= shell ============== allow shell kernel:security setenforce; #============= rmt ============== allow rmt kmem_device:chr_file { read write };
Điều này sẽ cấp cho rmt
khả năng ghi bộ nhớ nhân, một lỗ hổng bảo mật rõ ràng. Thường thì các câu lệnh audit2allow
chỉ là điểm xuất phát. Sau khi sử dụng các câu lệnh này, bạn có thể cần thay đổi miền nguồn và nhãn của mục tiêu, cũng như kết hợp các macro thích hợp để có được một chính sách phù hợp. Đôi khi, việc từ chối đang được xem xét sẽ không dẫn đến bất kỳ thay đổi nào về chính sách; thay vào đó, bạn nên thay đổi ứng dụng vi phạm.