在開發中，偶爾會碰到一些TE字尾的檔案的修改和檢視。google借鑑了SELinux安全機制，在Android內包含了該機制，而TE是SELinux中描述程式訪問資源的語言。本文的目的是讓大家在Android開發中，碰到相關問題時能夠看懂相關的TE檔案。在下面的內容中將描述SELinux基本的TE編寫規則和在Android中的應用。

SELinux資源訪問基本概念

SELinux使用型別強制來改進強制訪問控制。所有的主體（程式程序）對客體（檔案/socket等資源）的訪問都有一條TE規則來許可。當程式訪問一個資源的時候，系統會搜尋所有的TE規則集，並根據結果進行處理。這個規則集是由訪問向量規則（AV， Access Vector）來描述的。

核心向外部暴露允許訪問的資源許可權，由TE來描述主體擁有什麼樣的訪問權。SELinux定義了30個不同的客體類別：

security process system capability filesystem file dir fd lnk_file chr_file blk_file socket_file ...

每個客體類別都定義了操作許可，比如針對file有19個操作許可：

ioctl read write create getattr setattr lock relablefrom relableto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint
 

這兩個內容在後面介紹常用語法的時候會涉及到。所以對於file的操作許可，我們可以看到基本上是對檔案的操作方法，所以程式呼叫這些功能的時候，系統會檢查是否有一個TE規則，授予了該程式許可權來使用該功能。

Android中的SELinux

開啟SELinux

首先必須先開啟SELinux功能，google提供了開啟該選項的開關。在BoardConfig.mk裡面會定義如下變數：

BOARD_SEPOLICY_DIRS += build/target/board/generic/sepolicy

對應路徑下面就會有很多TE檔案來描述程序對資源的訪問許可。

常用語法

型別和屬性

在TE中，所有的東西都被抽象成型別。程序，抽象成型別；資源，抽象成型別。屬性，是型別的集合。所以，TE規則中的最小單位就是型別。

宣告型別

type 型別名稱

type system_app;

這裡定義了一個system_app的型別，這個型別抽象的是某些程序所屬的域。至於類型別名集和屬性集這些額外的東西，請自己搜尋瞭解。乳溝只是為了看懂TE檔案，我們只保持最小了解原則。

宣告屬性

attribute 屬性名稱;

attribute domain；

關聯型別和屬性

有兩種方法可以將某個型別跟某個屬性關聯起來。

一，在宣告型別的時候就關聯已經定義的屬性。

type system_app, domain;

這個就在定義system_app的時候就將它跟已經定義的domain屬性關聯起來了。

typeattribute platform_app mlstrustedsubject;

如果已經定義了型別platform_app，可以用typeattribute將它和已經定義的mIstrustedsubject關聯起來。

注意：所有的屬性和型別都共用一個名稱空間，所以命名的時候不要出現同名的屬性和型別哦。

訪問向量（AV）規則

AV用來描述主體對客體的訪問許可。通常有四類AV規則：

• allow：表示允許主體對客體執行許可的操作。

• neverallow：表示不允許主體對客體執行制定的操作。

• auditallow： 表示允許操作並記錄訪問決策資訊。

• dontaudit：表示不記錄違反規則的決策資訊，切違反規則不影響執行。

通用的型別規則語法位：

allow platform_app debugfs:file { read ioctl };

表示類別為platform_app的程式程序，對debugfs型別的檔案執行read和ioctl操作。

一些特殊的配置檔案：

a. external/sepolicy/attributes -> 所有定義的attributes都在這個檔案
b. external/sepolicy/access_vectors -> 對應了每一個class可以被允許執行的命令
c. external/sepolicy/roles -> Android中只定義了一個role，名字就是r，將r和attribute domain關聯起來
d. external/sepolicy/users -> 其實是將user與roles進行了關聯，設定了user的安全級別，s0為最低階是預設的級別，mls_systemHigh是最高的級別
e. external/sepolicy/security_classes -> 指的是上文命令中的class，個人認為這個class的內容是指在android執行過程中，程式或者系統可能用到的操作的模組
f. external/sepolicy/te_macros -> 系統定義的巨集全在te_macros檔案
g. external/sepolicy/*.te -> 一些配置的檔案，包含了各種執行的規則

selinux有兩種工作模式

“permissive”：所有操作都被允許（即沒有MAC），但是如果有違反許可權的話，會記錄日誌
“enforcing”：所有操作都會進行許可權檢查

permissive platform_app;

其他

在te檔案中經常出現如下的函式：

unix_socket_connect(platform_app, agpsd, mtk_agpsd);

這個其實是一個巨集。它定義在檔名為te_macros的檔案裡面，經過全域性搜尋這個巨集，發現如下定義：

unix_socket_connect($1, qmuxd, qmux)

allow qmux $1_qmuxd_socket:sock_file { getattr unlink };

')

其實也是一個allow訪問向量。

總結

在分析時時刻牢記，TE規則描述的是主體對客體訪問的許可。TE的最小單位是型別，這個概念抽象了主體和客體。每個主體對客體執行某種許可，都需要有對應的av規則描述，否則就會失敗。在實際專案過程中如果碰到相關的問題，可能就需要修改te檔案，編輯相關的操作許可。

本文對平常瞭解比較少的SELinux的TE規則進行了簡述，需要更詳細瞭解的請仔細閱讀參考文獻的內容。

參考文獻：

1. MyArrow的專欄: 看懂SELinux策略語言–型別強制(編寫TE規則)

2. Linux安全體系分析，第三章 SELinux訪問控制機制

3. 重慶鯧魚：andorid中SELinux規則分析和語法簡介