编译 SELinux 政策

本文介绍了如何编译 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行编译。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策编译流程合并了所有 sepolicy 片段,然后在根目录中生成了整体文件。这意味着 SOC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/B 设备)或 system.img(针对 A/B 设备)。

在 Android 8.0 及更高版本中,平台政策和供应商政策是单独编译的。SOC 和原始设备制造商 (OEM) 可以更新自己那部分政策,编译自己的映像(vendor.img、boot.img 等),然后独立于平台更新来更新这些映像。

不过,由于模块化的 SELinux 政策文件存储在 /vendor 分区中,因此 init 进程必须提早装载系统分区和供应商分区,以便能够从这些分区中读取 SELinux 文件,并将这些文件与系统目录中的核心 SELinux 文件合并(装载操作要在将这些文件加载到内核之前进行)。

源文件

SELinux 的编译逻辑位于以下文件中:

  • external/selinux:外部 SELinux 项目,用于构建 HOST 命令行实用工具以编译 SELinux 政策和标签。
  • system/sepolicy:核心 Android SELinux 政策配置,包括上下文文件和政策文件。主要 sepolicy 编译逻辑也位于此处:system/sepolicy/Android.mk

要详细了解 system/sepolicy 中的文件,请参阅实现 SELinux

Android 7.0 及更低版本

本部分介绍如何在 Android 7.x 及更低版本中编译 SELinux 政策。

编译 SELinux 政策

SELinux 政策通过将核心 AOSP 政策与设备专用自定义政策合并而创建。然后,系统会将合并后的政策传递给政策编译器和各种检查工具。设备专用自定义政策通过在设备专用 Boardconfig.mk 文件中定义的 BOARD_SEPOLICY_DIRS 变量完成。该全局编译变量包含一个用于指定其他政策文件搜索顺序的目录列表。

例如,SOC 供应商和 ODM 可以分别添加一个目录,一个用于 SOC 专用设置,另一个用于设备专用设置,以生成针对指定设备的最终 SELinux 配置:

  • BOARD_SEPOLICY_DIRS += device/SOC/common/sepolicy
  • BOARD_SEPOLICY_DIRS += device/SoC/DEVICE/sepolicy

system/sepolicyBOARD_SEPOLICY_DIRS 中的 file_contexts 文件内容会连接在一起,以便在设备上生成 file_contexts.bin

此图显示了 Android 7.x 的 SELinux 编译逻辑。
图 1. SELinux 编译逻辑

sepolicy 文件由多个源文件组成:

  • 纯文本 policy.conf 是通过依次连接 security_classesinitial_sids*.te 文件、genfs_contexts 以及 port_contexts 而生成的。
  • 对于每个文件(例如 security_classes),其内容都是由 system/sepolicy/BOARDS_SEPOLICY_DIRS 下的同名文件连接而成。
  • policy.conf 会被发送到 SELinux 编译器进行语法检查并被编译为二进制格式,从而生成设备上的 sepolicy
    此图显示了为 Android 7.x 生成 SELinux 政策文件的文件。
    图 2. SELinux 政策文件

SELinux 文件

编译完成后,搭载 Android 7.x 及更低版本的设备通常包含以下与 SELinux 相关的文件:

  • selinux_version
  • sepolicy: binary output after combining policy files (security_classes, initial_sids, *.te, etc.)
  • file_contexts
  • property_contexts
  • seapp_contexts
  • service_contexts
  • system/etc/mac_permissions.xml

如需了解详情,请参阅实现 SELinux

SELinux 初始化

在系统启动时,SELinux 处于宽容模式(并且不处于强制模式)。init 进程会执行以下任务:

  • 通过 /sys/fs/selinux/loadsepolicy 文件从 ramdisk 加载到内核。
  • 将 SELinux 切换到强制模式。
  • 对自己执行 re-exec(),以将 SELinux 域规则应用于自身。

为了缩短启动时间,请在尽早在 init 进程中执行 re-exec()

Android 8.0 及更高版本

在 Android 8.0 中,SELinux 政策拆分为平台组件和供应商组件,以允许独立进行平台/供应商政策更新,同时保持兼容性。

平台 sepolicy 进一步拆分为平台专用部分和平台公共部分,以便将特定类型和属性导出到供应商政策写入程序。平台会保证将公共类型/属性作为指定平台版本的稳定 API 进行维护。借助平台映射文件,平台可以保证与之前多个版本的公共类型/属性兼容。

平台公共 sepolicy

平台公共 sepolicy 包含 system/sepolicy/public 下定义的所有内容。平台可以假设在公共政策下定义的类型和属性是指定平台版本的稳定 API。这构成了 sepolicy 中平台导出的部分,供应商(即设备)政策开发者可以在这部分 sepolicy 中编写其他设备专用政策。

类型的版本取决于在编写供应商文件时参照的政策版本(由 PLATFORM_SEPOLICY_VERSION 编译变量所定义)。然后,相应版本的公共政策(以其原始形式)便会与供应商政策一起包含在平台政策中。因此,最终政策包含平台专用政策、当前平台的公共 sepolicy、设备专用政策,以及与编写设备政策时参照的平台版本相对应的适当版本的公共政策。

平台专用 sepolicy

平台专用 sepolicy 包含 /system/sepolicy/private 下定义的所有内容。这部分政策构成了运行平台功能所需的平台专用类型、权限和属性。这些内容不会导出到 vendor/device 政策写入程序。非平台政策的写入程序不得根据平台专用 sepolicy 中定义的类型/属性/规则来编写政策扩展程序。此外,在进行框架专用更新时,可以修改或移除这些规则。

平台专用映射

平台专用映射包含相应政策声明,用于将在之前平台版本的平台公共政策中公开的属性映射到当前平台公共 sepolicy 中所使用的具体类型。这样可以确保根据之前平台公共 sepolicy 版本中的平台公共属性编写的供应商政策可以继续运行。版本控制基于在 AOSP 中为指定平台版本设置的 PLATFORM_SEPOLICY_VERSION 编译变量。之前的每个平台版本都有一个单独的映射文件;平台应通过相应的映射文件接受供应商政策。如需了解详情,请参阅兼容性

编译 SELinux 政策

Android 8.0 中的 SELinux 政策是通过合并 /system/vendor 中的部分内容而创建。适当设置该政策的逻辑位于 /platform/system/sepolicy/Android.mk

政策存在于以下位置:

位置 包含
system/sepolicy/public 平台的 sepolicy API
system/sepolicy/private 平台实现详情(供应商可以忽略)
system/sepolicy/vendor 供应商可以使用的政策和上下文文件(供应商可以根据情况忽略)
BOARD_SEPOLICY_DIRS 供应商 sepolicy

编译系统采用该政策,并在系统分区和供应商分区中分别生成平台政策组件和供应商政策组件。具体步骤包括:

  1. 将政策转换为 SELinux 通用中间语言 (CIL) 格式,具体如下:
    1. 平台公共政策
    2. 专用 + 公共组合政策
    3. 公共 + 供应商和 BOARD_SEPOLICY_DIRS 政策
  2. 将公开提供的政策的版本控制为供应商政策的一部分。为此,应使用生成的公共 CIL 政策向公共 + 供应商 + BOARD_SEPOLICY_DIRS 组合政策指明必须将哪些部分转换为将与平台政策相关联的属性。
  3. 创建将平台和供应商部分关联在一起的映射文件。最初,该文件只是将公共政策中的类型与供应商政策中对应的属性相关联;之后,该文件还为未来的平台版本中维护的文件提供依据,从而兼容以此平台版本作为目标版本的供应商政策。
  4. 合并政策文件(介绍设备解决方案和预编译解决方案)。
    1. 合并映射政策、平台政策和供应商政策。
    2. 编译输出二进制政策文件。