SEAndroid安全机制中的进程安全上下文关联分析.doc

SEAndroid安全机制中的进程安全上下文关联分析 前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中，除了要给文件关联安全上下文外，还需要给进程关联安全上下文，因为只有当进程和文件都关联安全上下文之后，SEAndroid安全策略才能发挥作用。也就是说，当一个进程试图访问一个文件时，SEAndroid会将进程和文件的安全上下文提取出来，根据安全策略规则，决定是否允许访问。本文就详细分析SEAndroid的进程安全上下文的关联过程。 在传统的Linux系统中，每一个应用程序都对应有一个可执行文件。在这种情况下，我们就可以在安全策略中设定一个规则：当一个可执行文件加载到一个进程中执行时，该进程的安全上下文就设置为指定的值。也就是说，我们可以在安全策略中静态地为进程设置安全上下文。然而，这种进程安全上下文设置方式不适合于Android系统中的应用程序进程。从前面和这两篇文章可以知道，Android系统中的应用程序进程都是由Zygote进程fork出来。这些应用程序进程被Zygote进程fork出来之后，不像传统Linux的应用程序进程一样，会通过exec系统调用将对应的可执行文件加载起来执行。这样就会使得Zygote进程及其创建的所有应用程序进程对应的可执行文件均为/system/bin/app_process。由于我们却需要给不同的应用程序设置不同的安全上下文，以便给它们赋予不同的安全权限，因此我们需要在应用程序进程创建出来之后动态地设置它的安全上下文。 根据上面的描述，我们就总结出，在SEAndroid安全机制中，进程的安全上下文设置分为静态和动态两种方式，如图1所示： 接下来，我们就分别描述这两种进程安全上下文设置方式。 1. 为独立进程静态地设置安全上下文 Android系统的第一个进程是init，其它所有的进程都是由init进程直接或者间接fork出来的。我们在前面一篇文章提到，一个新创建的文件的安全上下文在默认情况下来自于其父目录。与此类似，一个新创建的进程的安全上下文在默认情况下来自于其父进程。因此，我们就先看看系统中的第一个进程init的安全上下文是如何设置的。 查看init进程的启动脚本system/core/rootdir/init.rc，可以看到以下的内容： [plain] view plain copy 在CODE上查看代码片派生到我的代码片 on early-init ...... # Set the security context for the init process. # This should occur before anything else (e.g. ueventd) is started. setcon u:r:init:s0 ...... 这段脚本的意思是init进程启动之后就马上调用函数setcon将自己的安全上下文设置为“u:r:init:s0”，即将init进程的domain指定为init。 接下来我们再看看init这个domain的定义，在external/sepolicy/init.te文件中： [plain] view plain copy 在CODE上查看代码片派生到我的代码片 # init switches to init domain (via init.rc). type init, domain; permissive init; # init is unconfined. unconfined_domain(init) tmpfs_domain(init) # add a rule to handle unlabelled mounts allow init unlabeled:filesystem mount; 第一个type语句将domain设置为init的属性，这意味着init是用来描述进程的安全上下文的。 第二个permissive语句指定当domain为init的进程违反SEAndroid安全策略访问资源时，只进行日志输出，而不是拒绝执行。由于这里列出来的内容是来自Android 4.3的，而Android 4.3开启的是Permissive的SEAndroid模式，因此这里会看到这样的一个permissive语句。 第三个unconfined_domain语句是一个宏，定义在external/sepolicy/te_macros文件中，用来指定init是一个不受限制的domain，即它