permissive domains not allowed in user builds

起因:

错误log:

ERROR: permissive domains not allowed in user builds" 1>&2;

起因:在进一笔sepolicy代码的时候,报出的build break,从log也能很明显的看出,有一个domain,因为添加了permissive关键字而在user版本上导致的编译错误。
思索:为什么要在user版本上禁止使用permissive标签,在翻了资料后发现为了开发和debug的需要,加上permissive关键字后,可以将该domain的一些denied log打印出来,这样就方便了一次将所有的权限添加。这样做的方式了避免了那些开机启动的应用程序没有权限,有时候log太快被冲掉的问题。而且这个好处也避免了让整台机器都处于permissive的非安全状态。 使用:

  1. 在te文件中添加 
    permissive myapp_t;
  2. 动态添加 
    // 添加
semanager permissive -a myapp_t
// 删除
semanager permissive -d myapp_t

    错误跟踪链:

    总结: 在编译bootimage的时候,sepolicy编译出来后,会进行一些条件的check,而permissivedomain的check也就在其中。

    log出处:
    // system/sepolicy/Android.mk
$(built_sepolicy_neverallows)
 @mkdir -p $(dir $@)
 $(hide) $< -m -M true -G -c $(POLICYVERS) $(PRIVATE_NEVERALLOW_ARG) $(PRIVATE_CIL_FILES) -o $@.tmp -f /dev/null  
 $(hide) $(HOST_OUT_EXECUTABLES)/sepolicy-analyze $@.tmp permissive > $@.permissivedomains // 1
 $(hide) if [ "$(TARGET_BUILD_VARIANT)" = "user" -a -s $@.permissivedomains ]; then \ //2
     echo "==========" 1>&2; \
     echo "ERROR: permissive domains not allowed in user builds" 1>&2; \
     echo "List of invalid domains:" 1>&2; \
     cat $@.permissivedomains 1>&2; \
     exit 1; \
     fi
 $(hide) mv $@.tmp $@

    首先看到1处,调用sepolicy-analyze来对之前创建出的tmp文件进行分析,将结果保存在permissivedomain中。
    紧接着2处进行判断,如果当前的目标版本是user,并且有permissivedomain这个文件,那么就说明已经违反了规定,将cat的结果打印到终端,同时exit,将整个打包进行失败。

    sepolicy-analyze内容

    上面说到在makefile中的进行分析,如果有分析结果就说明是错误了,那么分析的内容是什么呢?

    // system/sepolicy/tools/sepolicy-analyze/sepolicy-analyze.c
int main(int argc, char **argv)
{
 char *policy;
 struct policy_file pf;
 policydb_t policydb;
 int rc;
 int i;

 if (argc < 3)
     usage(argv[0]);
 policy = argv[1];
 if(load_policy(policy, &policydb, &pf))
     exit(1);
 for(i = 0; i < NUM_COMPONENTS; i++) { 
     if (!strcmp(analyze_components[i].key, argv[2])) { // 1
         rc = analyze_components[i].func(argc - 2, argv + 2, &policydb);//2
         if (rc && USAGE_ERROR) {
             usage(argv[0]); }
         policydb_destroy(&policydb);
         return rc;
     }
 }
 usage(argv[0]);
 exit(0);
}

    从上面的分析,我们可以知道,第一个参数是文件,而第二个参数是permissive。1处的意思在这里一个for循环来找到对应的策略,也是就permissive的策略:

    #define COMP(x) { #x, sizeof(#x) - 1, x ##_usage, x ##_func }
static struct {
 const char *key;
 size_t keylen;
 void (*usage) (void);
 int (*func) (int argc, char **argv, policydb_t *policydb);
} analyze_components[] = {
 COMP(dups),
 COMP(neverallow),
 COMP(permissive),
 COMP(typecmp),
 COMP(booleans),
 COMP(attribute)
};

    数组中的permissive简化下来:

    static struct {
 const char *key = "permissive";
 size_t keylen = sizeof("permissive");
 void permissive_usage ();
 void permissive_func (int argc , char ** argv, policydb_t *policydb);
}

    所以2处调用的就是permissive_func ```c // system/sepolicy/tools/sepolicy-analyze/perm.c static int list_permissive(policydb_t * policydb) { struct ebitmap_node *n; unsigned int bit;

    /*

    • iterate over all domains and check if domain is in permissive */ ebitmap_for_each_bit(&policydb->permissive_map, n, bit) { if (ebitmap_node_get_bit(n, bit)) { printf(“%s\n”, policydb->p_type_val_to_name[bit -1]); } } return 0; }

int permissive_func (int argc, attribute ((unused)) char **argv, policydb_t *policydb) { if (argc != 1) { USAGE_ERROR = true; return -1; } return list_permissive(policydb); } ``` 到这里也就很清晰,通过for循环来寻找文件找到permissive的domain。因为将print的结果都重定向到文件中,所以$@.permissivedomain中就有了对应的permissive的domain。

总结:

permissive domain是用来帮助开发者进行开发以及debug的工具,用来一次性查看需要用到的权限,并且可以通过工具生成对应的规则,而permissive domain在设计中更多的被看做是一个临时的状态,而不是一个最终的状态。所以在user版本也就是发型版本中是不能够出现permissive的。而我们应该遵循这样的设计逻辑,不要在user版本中permissivedomain,只在开发和debug阶段添加对应逻辑方便调试。

参考资料

  1. 红帽doc
  2. selinux官方文档
  3. Android SEAndroid
>
--> return <--