इस पेज का अनुवाद Cloud Translation API से किया गया है.

SELinux की पुष्टि

एंड्रॉइड ओईएम को अपने SELinux कार्यान्वयन का पूरी तरह से परीक्षण करने के लिए दृढ़ता से प्रोत्साहित करता है। जैसा कि निर्माता SELinux को लागू करते हैं, उन्हें नई नीति को पहले उपकरणों के परीक्षण पूल पर लागू करना चाहिए।

एक नई नीति लागू करने के बाद, सुनिश्चित करें कि SELinux डिवाइस पर getenforce कमांड जारी करके सही मोड में चल रहा है।

यह वैश्विक SELinux मोड को प्रिंट करता है: या तो लागू करना या अनुमति देना। प्रत्येक डोमेन के लिए SELinux मोड को निर्धारित करने के लिए, आपको संबंधित फाइलों की जांच करनी चाहिए या /platform/system/sepolicy/tools/ में मौजूद उपयुक्त ( -p ) ध्वज के साथ sepolicy-analyze का नवीनतम संस्करण चलाना चाहिए।

इनकार पढ़ना

त्रुटियों के लिए जाँच करें, जो इवेंट लॉग के रूप में dmesg और logcat पर रूट की जाती हैं और डिवाइस पर स्थानीय रूप से देखी जा सकती हैं। निर्माताओं को इन उपकरणों पर dmesg करने के लिए SELinux आउटपुट की जांच करनी चाहिए और सार्वजनिक रिलीज से पहले सेटिंग्स को पर्मिसिव मोड में परिशोधित करना चाहिए और अंतत: एन्फोर्सिंग मोड में स्विच करना चाहिए। SELinux लॉग संदेशों में avc: होता है और इसलिए आसानी से grep के साथ मिल सकता है। cat /proc/kmsg kmsg चलाकर या cat /sys/fs/pstore/console-ramoops चलाकर पिछले बूट से इनकार लॉग को कैप्चर करना संभव है।

इस आउटपुट के साथ, निर्माता आसानी से पहचान सकते हैं कि सिस्टम उपयोगकर्ता या घटक SELinux नीति का उल्लंघन कर रहे हैं। निर्माता तब इस बुरे व्यवहार की मरम्मत कर सकते हैं, या तो सॉफ़्टवेयर में परिवर्तन, SELinux नीति, या दोनों द्वारा।

विशेष रूप से, ये लॉग संदेश इंगित करते हैं कि प्रवर्तन मोड के तहत कौन सी प्रक्रियाएं विफल हो जाएंगी और क्यों। यहाँ एक उदाहरण है:

avc: denied  { connectto } for  pid=2671 comm="ping" path="/dev/socket/dnsproxyd"
scontext=u:r:shell:s0 tcontext=u:r:netd:s0 tclass=unix_stream_socket

इस आउटपुट को इस प्रकार समझें:

ऊपर दिया गया { connectto } की जा रही कार्रवाई को दर्शाता है। अंत में tclass ( unix_stream_socket ) के साथ, यह आपको मोटे तौर पर बताता है कि क्या किया जा रहा था। इस मामले में, कुछ यूनिक्स स्ट्रीम सॉकेट से कनेक्ट करने का प्रयास कर रहा था।
scontext (u:r:shell:s0) आपको बताता है कि किस संदर्भ ने कार्रवाई शुरू की। इस मामले में यह कुछ खोल के रूप में चल रहा है।
tcontext (u:r:netd:s0) आपको क्रिया के लक्ष्य का संदर्भ बताता है। इस मामले में, यह एक unix_stream_socket है जिसका स्वामित्व netd के पास है।
शीर्ष पर स्थित comm="ping" आपको इस बारे में एक अतिरिक्त संकेत देता है कि इनकार उत्पन्न होने के समय क्या चल रहा था। इस मामले में, यह एक बहुत अच्छा संकेत है।

एक और उदाहरण:

adb shell su root dmesg | grep 'avc: '

आउटपुट:

<5> type=1400 audit: avc:  denied  { read write } for  pid=177
comm="rmt_storage" name="mem" dev="tmpfs" ino=6004 scontext=u:r:rmt:s0
tcontext=u:object_r:kmem_device:s0 tclass=chr_file

इस इनकार के प्रमुख तत्व इस प्रकार हैं:

क्रिया - प्रयास की गई क्रिया को कोष्ठक, read write या setenforce में हाइलाइट किया जाता है।
अभिनेता - scontext (स्रोत संदर्भ) प्रविष्टि अभिनेता का प्रतिनिधित्व करती है, इस मामले में rmt_storage daemon.
वस्तु - tcontext (लक्ष्य संदर्भ) प्रविष्टि उस वस्तु का प्रतिनिधित्व करती है जिस पर कार्य किया जा रहा है, इस मामले में kmem।
परिणाम - tclass (लक्ष्य वर्ग) प्रविष्टि उस वस्तु के प्रकार को इंगित करती है जिस पर कार्य किया जा रहा है, इस मामले में एक chr_file (चरित्र उपकरण)।

डंपिंग उपयोगकर्ता और कर्नेल स्टैक

कुछ मामलों में, इवेंट लॉग में निहित जानकारी इनकार की उत्पत्ति को इंगित करने के लिए पर्याप्त नहीं है। यह बेहतर ढंग से समझने के लिए कि इनकार क्यों हुआ, कर्नेल और उपयोगकर्ता स्थान सहित कॉल श्रृंखला को इकट्ठा करना अक्सर उपयोगी होता है।

हाल के कर्नेल avc:selinux_audited नामक ट्रेसपॉइंट को परिभाषित करते हैं। इस ट्रेसपॉइंट को सक्षम करने और कॉलचेन को कैप्चर करने के लिए Android simpleperf का उपयोग करें।

समर्थित विन्यास

लिनक्स कर्नेल> = 5.10, विशेष रूप से एंड्रॉइड कॉमन कर्नेल शाखाएं मेनलाइन और एंड्रॉइड12-5.10 समर्थित हैं। android12-5.4 शाखा भी समर्थित है। आप यह निर्धारित करने के लिए simpleperf का उपयोग कर सकते हैं कि आपके डिवाइस पर ट्रेसपॉइंट परिभाषित है या नहीं: adb root && adb shell simpleperf list | grep avc:selinux_audited । अन्य कर्नेल संस्करणों के लिए, आप चेरी पिक कमिट्स dd81662 और 30969bc कर सकते हैं।
जिस घटना को आप डिबग कर रहे हैं उसे पुन: उत्पन्न करना संभव होना चाहिए। सिंपलपरफ का उपयोग करके बूट टाइम इवेंट समर्थित नहीं हैं; हालांकि आप अभी भी ईवेंट को ट्रिगर करने के लिए सेवा को पुनरारंभ करने में सक्षम हो सकते हैं।

कॉल चेन कैप्चर करना

पहला कदम simpleperf record का उपयोग करके घटना को रिकॉर्ड करना है:

adb shell -t "cd /data/local/tmp && su root simpleperf record -a -g -e avc:selinux_audited"

फिर, इनकार करने वाली घटना को ट्रिगर किया जाना चाहिए। उसके बाद, रिकॉर्डिंग बंद कर दी जानी चाहिए। इस उदाहरण में, Ctrl-c का उपयोग करके, नमूना कैप्चर किया जाना चाहिए था:

^Csimpleperf I cmd_record.cpp:751] Samples recorded: 1. Samples lost: 0.

अंत में, कैप्चर किए गए स्टैकट्रेस का निरीक्षण करने के लिए simpleperf report का उपयोग किया जा सकता है। उदाहरण के लिए:

adb shell -t "cd /data/local/tmp && su root simpleperf report -g --full-callgraph"
[...]
Children  Self     Command  Pid   Tid   Shared Object                                   Symbol
100.00%   0.00%    dmesg    3318  3318  /apex/com.android.runtime/lib64/bionic/libc.so  __libc_init
       |
       -- __libc_init
          |
           -- main
              toybox_main
              toy_exec_which
              dmesg_main
              klogctl
              entry_SYSCALL_64_after_hwframe
              do_syscall_64
              __x64_sys_syslog
              do_syslog
              selinux_syslog
              slow_avc_audit
              common_lsm_audit
              avc_audit_post_callback
              avc_audit_post_callback

उपरोक्त कॉल श्रृंखला एक एकीकृत कर्नेल और उपयोगकर्ता स्थान कॉल श्रृंखला है। यह आपको उपयोक्ता स्थान से ट्रेस को नीचे कर्नेल तक शुरू करके कोड प्रवाह का एक बेहतर दृश्य देता है जहां इनकार होता है। simpleperf के बारे में अधिक जानकारी के लिए, Simpleperf निष्पादन योग्य आदेश संदर्भ देखें

अनुमेय पर स्विच करना

SELinux प्रवर्तन को एडीबी के माध्यम से userdebug या eng बिल्ड पर अक्षम किया जा सकता है। ऐसा करने के लिए, पहले adb root चलाकर ADB को रूट पर स्विच करें। फिर, SELinux प्रवर्तन को अक्षम करने के लिए, चलाएँ:

adb shell setenforce 0

या कर्नेल कमांड लाइन पर (शुरुआती डिवाइस लाने के दौरान):

androidboot.selinux=permissive
androidboot.selinux=enforcing

या Android 12 में bootconfig के माध्यम से:

androidboot.selinux=permissive
androidboot.selinux=enforcing

ऑडिट2अनुमति का उपयोग करना

नोट: audit2allow 2अनुमति अब AOSP के हिस्से के रूप में प्रदान नहीं की जाती है। अपने लिनक्स वितरण द्वारा आपूर्ति किए गए पैकेज का उपयोग करें (पैकेज policycoreutils-python-utils डेबियन और उबंटू पर)।

audit2allow 2अनुमति उपकरण dmesg इनकार लेता है और उन्हें संबंधित SELinux नीति विवरणों में परिवर्तित करता है। जैसे, यह SELinux के विकास को बहुत तेज कर सकता है।

इसका उपयोग करने के लिए, चलाएँ:

adb pull /sys/fs/selinux/policy
adb logcat -b events -d | audit2allow -p policy

नोट: इन आदेशों को चलाने से Bugreport.txt नहीं बदलता है क्योंकि सभी लॉग पहले से मौजूद हैं, जिनमें पिछले रीबूट से पहले के लॉग भी शामिल हैं। ओटीए या विकास फ्लैश चलाने वाले उपकरणों पर, पुराने और नए उल्लंघन एक और रिबूट तक मिश्रित होते हैं। इसे संबोधित करने के लिए, डिवाइस को फिर से रिबूट करें या अपने बग्रेपोर्ट से console-ramoops और LAST_LOGCAT को फ़िल्टर करें।

फिर भी, अत्यधिक अनुमतियों के लिए प्रत्येक संभावित जोड़ की जांच करने के लिए सावधानी बरती जानी चाहिए। उदाहरण के लिए, निम्नलिखित सुझाए गए SELinux पॉलिसी स्टेटमेंट में पहले दिखाए गए audit2allow इनकार को rmt_storage दें:

#============= shell ==============
allow shell kernel:security setenforce;
#============= rmt ==============
allow rmt kmem_device:chr_file { read write };

यह rmt को कर्नेल मेमोरी, एक चमकदार सुरक्षा छेद लिखने की क्षमता प्रदान करेगा। अक्सर audit2allow कथन केवल एक प्रारंभिक बिंदु होता है। इन कथनों को लागू करने के बाद, आपको एक अच्छी नीति पर पहुंचने के लिए स्रोत डोमेन और लक्ष्य के लेबल को बदलने के साथ-साथ उचित मैक्रोज़ को शामिल करने की आवश्यकता हो सकती है। कभी-कभी जांच की जा रही अस्वीकृति के परिणामस्वरूप कोई नीतिगत परिवर्तन बिल्कुल भी नहीं होना चाहिए; बल्कि आपत्तिजनक आवेदन को बदला जाना चाहिए।