标签:添加 限制 te pro 具体类 raw 存在 close 无法 end
Android系统为每个应用程序提供了一个安全的运行环境,不同程序间相互隔离,应用程序的数据等私有资源,外界无法访问。这个安全的运行环境由Android的权限系统(可称为沙箱系统)来提供。本文简单记录Android权限系统的基本组成模块和实现机制中的关键代码。
可以将Android权限系统分为4个模块:
该权限系统基于进程的UID来控制进程对文件等资源的访问权限。简单来说,系统中每个进程有一个UID和一个或多个GID属性;每个文件具有一个UID和一个GID属性,并且有三组权限位,分别表示和自己相同的UID进程、相同的GID进程,以及其他不相关进程对文件的读、写和执行访问权限。内核以UID作为权限管理的基本粒度单位。关于进程对文件的具体访问权限规则,可以查阅UNIX/Linux手册或一些书籍。(《UNIX环境高级编程》4.5节)。
在典型的UNIX/Linux多用户系统中,系统为每个登录用户分配一个UID,所以权限控制的粒度是单个用户。Android系统没有传统意义登录用户的概念,而是将UID分配给每个应用程序,所以权限管理的粒度是单个应用程序。具体运行过程如下。
应用程序安装时,系统为应用程序分配一个UID。PackageManagerService默认为每个应用程序分配一个新的UID和GID。如果应用程序申请了某些特殊的运行时权限,则为其分配(实际是将其加入)一组额外的GID Group。同一个开发者开发的两个应用(签名相同),可以共享UID和GID,只需要在AndroidManifest中声明同样的android:sharedUserId
属性。应用程序的UID/GID和其他属性一起写入packages.list
和packages.xml
文件中。
// PMS分配UID代码:
// PackageManagerService.java
if (newPkgSettingCreated) {
if (originalPkgSetting != null) {
mSettings.addRenamedPackageLPw(pkg.packageName, originalPkgSetting.name);
}
// THROWS: when we can't allocate a user id. add call to check if there's
// enough space to ensure we won't throw; otherwise, don't modify state
mSettings.addUserToSettingLPw(pkgSetting);
启动应用程序进程时,ActivityManagerService向PackageManagerService查询应用程序的UID/GID等信息,并将这些信息作为参数传递给Zygote进程。Zygote进程为应用程序fork出子进程,并按照参数设置子进程的UID/GID,这样应用程序进程就以自己所属UID的身份运行了。
// AMS 传递参数给Zygote
// ActivityManagerService.java
private ProcessStartResult startProcess(String hostingType, String entryPoint,
ProcessRecord app, int uid, int[] gids, int runtimeFlags, int mountExternal,
String seInfo, String requiredAbi, String instructionSet, String invokeWith,
long startTime) {
try {
...
} else {
startResult = Process.start(entryPoint,
app.processName, uid, uid, gids, runtimeFlags, mountExternal,
app.info.targetSdkVersion, seInfo, requiredAbi, instructionSet,
app.info.dataDir, invokeWith,
new String[] {PROC_START_SEQ_IDENT + app.startSeq});
}
...
}
// Zygote 根据参数设置进程UID属性
// com_android_internal_os_Zygote.cpp
static pid_t ForkAndSpecializeCommon(JNIEnv* env, uid_t uid, gid_t gid, jintArray javaGids,
jint runtime_flags, jobjectArray javaRlimits,
jlong permittedCapabilities, jlong effectiveCapabilities,
jint mount_external,
jstring java_se_info, jstring java_se_name,
bool is_system_server, jintArray fdsToClose,
jintArray fdsToIgnore, bool is_child_zygote,
jstring instructionSet, jstring dataDir) {
...
pid_t pid = fork();
if (pid == 0) {
...
if (!SetGids(env, javaGids, &error_msg)) {
fail_fn(error_msg);
}
...
int rc = setresgid(gid, gid, gid);
...
rc = setresuid(uid, uid, uid);
...
}
设置应用程序的文件权限
a. 设置APK文件权限为所有用户可读,这样系统或者别的应用程序才可以访问应用程序的代码。b. 系统为应用程序创建的数据目录,设置为其他用户可执行(搜索)。如果不设置为可执行,则用户的任何数据文件不能共享给其他应用程序。
// ContextImpl.java
public FileOutputStream openFileOutput(String name, int mode) throws FileNotFoundException {
checkMode(mode);
final boolean append = (mode&MODE_APPEND) != 0;
File f = makeFilename(getFilesDir(), name);
...
File parent = f.getParentFile();
parent.mkdir();
FileUtils.setPermissions(
parent.getPath(),
FileUtils.S_IRWXU|FileUtils.S_IRWXG|FileUtils.S_IXOTH,
-1, -1);
c. 应用通过Context.openFileOutput等Android接口创建的数据文件默认为其他用户不可读写。如果用户指定了MODE_WORLD_READABLE
或者 MODE_WORLD_WRITEABLE
,则设置其他用户可读或者可写。新版本这两个mode已经废除。
// ContextImpl.java
public FileOutputStream openFileOutput(String name, int mode) throws FileNotFoundException {
checkMode(mode);
final boolean append = (mode&MODE_APPEND) != 0;
File f = makeFilename(getFilesDir(), name);
...
setFilePermissionsFromMode(f.getPath(), mode, 0);
return fos;
}
static void setFilePermissionsFromMode(String name, int mode,
int extraPermissions) {
int perms = FileUtils.S_IRUSR|FileUtils.S_IWUSR
|FileUtils.S_IRGRP|FileUtils.S_IWGRP
|extraPermissions;
if ((mode&MODE_WORLD_READABLE) != 0) {
perms |= FileUtils.S_IROTH;
}
if ((mode&MODE_WORLD_WRITEABLE) != 0) {
perms |= FileUtils.S_IWOTH;
}
if (DEBUG) {
Log.i(TAG, "File " + name + ": mode=0x" + Integer.toHexString(mode)
+ ", perms=0x" + Integer.toHexString(perms));
}
FileUtils.setPermissions(name, perms, -1, -1);
}
d. 应用通过File.createNewFile()等Java接口创建的数据文件默认只有自己可读写。这种方式创建的文件权限与当前进程的umask设置相关。Android系统的init进程在创建系统服务(包括zygote)时,设置了umask为077,应用程序继承了zygote的umask,所以也是077,表示只保留相同UID的访问权限,仅允许相同UID的进程(也就是自己)访问。
``C++
// system/core/init/service.cpp
Result<Success> Service::Start() {
...
pid = fork();
if (pid == 0) {
umask(077);
...
}
基于UID的权限管理机制中,有一个特殊的UID 0,即所谓root用户,具有超级权限,不受权限机制的约束。而有些系统资源和能力,只有root用户才可以使用。所以系统中很多核心服务,如adbd,zygote以root身份运行,而这些系统服务又频繁与应用程序交互,这些服务中存在的安全漏洞,很容易被恶意应用程序利用,进行提权操作,突破系统权限管控。所以Android进一步使用capability机制来限制UID 0的权限。
Capability机制将只有root用户可以访问的权限进一步细分为一组能力。每个线程有四组比特位来表示自身所拥有的权限:
$ adb shell cat /proc/<pid>/status
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
CapBnd: 0000000000000000
其中CapInh表示执行execve会保留的权限;CapEff表示线程当前权限;CapPrm表示CapInh和CapEff的最大限制;CapBnd表示线程能够获得的最大权限。
Android系统中,adbd和zygote是为应用创建进程的服务。zygote服务在创建了子进程,将子进程返回给系统前,将CapBnd清除,这样即使子进程利用系统漏洞获取了root uid,仍然没有任何超级权限。adbd则在执行完必须的特权任务后,清除CapBnd,将自己权限降低。
// Zygote 设置子进程CapBnd
// com_android_internal_os_Zygote.cpp
static pid_t ForkAndSpecializeCommon(JNIEnv* env, uid_t uid, gid_t gid, jintArray javaGids,
jint runtime_flags, jobjectArray javaRlimits,
jlong permittedCapabilities, jlong effectiveCapabilities,
jint mount_external,
jstring java_se_info, jstring java_se_name,
bool is_system_server, jintArray fdsToClose,
jintArray fdsToIgnore, bool is_child_zygote,
jstring instructionSet, jstring dataDir) {
...
pid_t pid = fork();
if (pid == 0) {
...
if (!DropCapabilitiesBoundingSet(&error_msg)) {
fail_fn(error_msg);
}
...
应用默认只能访问自己的文件和非常少量的系统资源。想要获取更多系统和其他应用的资源,需要使用权限机制。
资源/服务提供者通过AndroidManifest显式要求调用者的权限; 应用在manifest中申请权限,系统在安装或运行时确定授予哪些权限。
Android Permission可以分为三种类型,每种类型permission的定义方式如下:
Builtin permission
系统在/etc/permissions/*.xml
中定义。每个权限对应一个GID。
// /etc/permissions/platform.xml
<permission name="android.permission.INTERNET" >
<group gid="inet" />
</permission>
<permission name="android.permission.WRITE_MEDIA_STORAGE" >
<group gid="media_rw" />
</permission>
系统每授予应用一个内置权限, 就给应用添加一个对应的GID到应用的添加组ID groups中
// PermissionsState.java
private int grantPermission(BasePermission permission, int userId) {
if (hasPermission(permission.getName(), userId)) {
return PERMISSION_OPERATION_FAILURE;
}
final boolean hasGids = !ArrayUtils.isEmpty(permission.computeGids(userId));
final int[] oldGids = hasGids ? computeGids(userId) : NO_GIDS;
...
Normal
Normal permission是系统(android package),系统应用以及第三方应用在自己的AndroidManifest中定义的权限。例如READ_CONTACTS
等系统权限是在framework-res.apk的AndroidManifest中定义。
// frameworks/base/core/res/AndroidManifest.xml
<permission-group android:name="android.permission-group.CONTACTS"
android:icon="@drawable/perm_group_contacts"
android:label="@string/permgrouplab_contacts"
android:description="@string/permgroupdesc_contacts"
android:request="@string/permgrouprequest_contacts"
android:priority="100" />
<!-- Allows an application to read the user's contacts data.
<p>Protection level: dangerous
-->
<permission android:name="android.permission.READ_CONTACTS"
android:permissionGroup="android.permission-group.CONTACTS"
android:label="@string/permlab_readContacts"
android:description="@string/permdesc_readContacts"
android:protectionLevel="dangerous" />
Dynamic
可以动态添加定义的权限。参考android developer
Buildtin permission在内核函数中显式校验,或者通过基于UID的权限机制进行校验。
内核中对INTERNET权限的校验
//
// af_inet.c
#ifdef CONFIG_ANDROID_PARANOID_NETWORK
#include <linux/android_aid.h>
static inline int current_has_network(void)
{
return in_egroup_p(AID_INET) || capable(CAP_NET_RAW);
}
static int inet_create(struct net *net, struct socket *sock, int protocol,
int kern)
{
...
if (!current_has_network())
return -EACCES;
基于UID的权限校验。以sdcard读写权限为例,sdcard目录权限设置为sdcard_rw组可读写(每个进程看到的权限不一样,这里以shell用户为例)。只有获得了WRITE_MEDIA_STORAGE
权限,才能获得sdcard_rw
GID,才能访问sdcard目录。
adb shell ls -l /sdcard/
total 112
drwxrwx--x 2 root sdcard_rw 4096 2008-12-31 21:31 Alarms
drwxrwx--x 3 root sdcard_rw 4096 2008-12-31 21:31 Android
drwxrwx--x 2 root sdcard_rw 4096 2008-12-31 21:31 DCIM
Normal和dynamic权限的校验
分两种情况。对于Activity,Service等程序组件的权限访问,由AMS调用权限检查函数判断是否具有合法权限。
对于对外提供服务的系统Service或者应用service,可以在功能函数中自己调用权限检查函数检查调用者是否具有权限。
PackageManager.checkPermission()
Context.checkPermission()
SELinux在8.0及以后为了兼容treble,做了较大的改动,这里仅总结记录一下8.0之前官方文档中所描述的一些概念和原理。
强制访问控制 MAC
Enforcement levels
标签(labels),规则(rules)和域(domains)
user:rule:type:mls_level
,其中type为主要部分。allow domain types:classes permissions;
,其中各部分含义:
system/sepolicy
目录。system/sepolicy
,而是在/device/manufacturer/device-name/sepolicy目录下定义设备相关的策略文件file_contexts
- 定义文件的标签。必须重新编译文件系统或者执行restorecon
命令使其生效。系统升级会自动更新系统和用户分区。在init.board.rc文件中添加restorecon_recursive
可以自动更新其他分区。genfs_contexts
- 为proc, vfat等不支持扩展属性的文件系统设置文件标签。此配置文件作为内核策略的一部分加载。但是需要重启或者卸载并重新装载才能对已经创建的节点生效。property_contexts
- 设置Android 系统property的标签。此文件由init在系统启动以及selinux.reload_policy设置为1是加载service_contexts
- 设置Android binder服务的标签,此文件由servicemanager在系统启动以及selinux.reload_policy设置为1时加载seapp_contexts
- 设置app进程和文件的标签。由zygote进程在app启动以及由installd在系统启动时和selinux.reload_policy设置为1时读取mac_permissions.xml
- 基于签名和包名为app设置seinfo,seapp_contexts
使用seinfo来为app设置标签。system_server
在启动时读取此文件BOARD_SEPOLICY_DIRS
等变量加入新的策略文件Init 初始化
/file_contexts
,设置/init
label。根文件系统不支持扩展属性,所以需要运行时设置/file_contexts
和property_contexts
/file_contexts
,设置/dev
,/dev/socket
等文件系统和目录的label。/sepolicy
,file_contexts
,property_contexts
Binder 初始化
servicemanager
服务启动时,从/service_contexts
文件读取每个service对应的context/service_contexts
zygote 初始化
/seapp_contexts
,计算app进程的context/seapp_contexts
是否需要更新,如需要则重新加载/seapp_contexts
文件system_server
initialization
/etc/mac_permissions.xml
读取每个包的seinfo信息(如果有的话)。标签:添加 限制 te pro 具体类 raw 存在 close 无法 end
原文地址:https://www.cnblogs.com/ntiger/p/12141932.html