Mulai 27 Maret 2025, sebaiknya gunakan android-latest-release, bukan aosp-main, untuk mem-build dan berkontribusi pada AOSP. Untuk mengetahui informasi selengkapnya, lihat Perubahan pada AOSP.

Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat kebijakan SELinux

Halaman ini membahas cara kebijakan SELinux dibuat. Kebijakan SELinux dibuat dari kombinasi kebijakan AOSP inti (platform) dan kebijakan khusus perangkat (vendor). Alur build kebijakan SELinux untuk Android 4.4 hingga Android 7.0 menggabungkan semua fragmen sepolicy, lalu membuat file monolitik di direktori root. Artinya, vendor SoC dan produsen ODM memodifikasi boot.img (untuk perangkat non-A/B) atau system.img (untuk perangkat A/B) setiap kali kebijakan diubah.

Di Android 8.0 dan yang lebih tinggi, kebijakan platform dan vendor dibuat secara terpisah. SOC dan OEM dapat memperbarui bagian kebijakan mereka, membuat image mereka (seperti vendor.img dan boot.img), lalu memperbarui image tersebut secara terpisah dari update platform.

Namun, karena file kebijakan SELinux yang dimodularisasi disimpan di partisi /vendor, proses init harus memasang partisi sistem dan vendor lebih awal sehingga dapat membaca file SELinux dari partisi tersebut dan menggabungkannya dengan file SELinux inti di direktori sistem (sebelum memuatnya ke kernel).

File sumber

Logika untuk membangun SELinux ada di file berikut:

external/selinux: Project SELinux eksternal, digunakan untuk membangun utilitas command line HOST untuk mengompilasi kebijakan dan label SELinux.
- external/selinux/libselinux: Android hanya menggunakan subset project libselinux eksternal bersama dengan beberapa penyesuaian khusus Android. Untuk mengetahui detailnya, lihat external/selinux/README.android.
- external/selinux/libsepol:
  - chkcon: Menentukan apakah konteks keamanan valid untuk kebijakan biner tertentu (dapat dieksekusi host).
  - libsepol: Library SELinux untuk memanipulasi kebijakan keamanan biner (menghosting library statis/bersama, menargetkan library statis).
- external/selinux/checkpolicy: Compiler kebijakan SELinux (file yang dapat dieksekusi host: checkpolicy, checkmodule, dan dispol). Bergantung pada libsepol.
system/sepolicy: Konfigurasi kebijakan SELinux Android inti, termasuk file kebijakan dan konteks. Logika build sepolicy utama juga ada di sini (system/sepolicy/Android.mk).

Untuk mengetahui detail selengkapnya tentang file di system/sepolicy Menerapkan SELinux.

Android 7.x dan yang lebih lama

Bagian ini membahas cara kebijakan SELinux dibuat di Android 7.x dan yang lebih rendah.

Proses build untuk Android 7.x dan yang lebih lama

Kebijakan SELinux dibuat dengan menggabungkan kebijakan AOSP inti dengan penyesuaian khusus perangkat. Kebijakan gabungan kemudian diteruskan ke compiler kebijakan dan berbagai pemeriksa. Penyesuaian khusus perangkat dilakukan melalui variabel BOARD_SEPOLICY_DIRS yang ditentukan dalam file Boardconfig.mk khusus perangkat. Variabel build global ini berisi daftar direktori yang menentukan urutan penelusuran file kebijakan tambahan.

Misalnya, vendor SoC dan ODM masing-masing dapat menambahkan direktori, satu untuk setelan khusus SoC dan yang lainnya untuk setelan khusus perangkat, guna membuat konfigurasi SELinux akhir untuk perangkat tertentu:

BOARD_SEPOLICY_DIRS += device/SOC/common/sepolicy
BOARD_SEPOLICY_DIRS += device/SoC/DEVICE/sepolicy

Konten file file_contexts di system/sepolicy dan BOARD_SEPOLICY_DIRS digabungkan untuk menghasilkan file_contexts.bin di perangkat:

Gambar ini menunjukkan logika build SELinux untuk Android 7.x.

File sepolicy terdiri dari beberapa file sumber:

Teks biasa policy.conf dibuat dengan menggabungkan security_classes, initial_sids, *.te, genfs_contexts, dan port_contexts dalam urutan tersebut.
Untuk setiap file (seperti security_classes), kontennya adalah gabungan file dengan nama yang sama di system/sepolicy/ dan BOARDS_SEPOLICY_DIRS.
policy.conf dikirim ke compiler SELinux untuk pemeriksaan sintaksis dan dikompilasi ke dalam format biner sebagai sepolicy di perangkat.

Gambar 2. File kebijakan SELinux.

File SELinux

Setelah dikompilasi, perangkat Android yang menjalankan 7.x dan yang lebih lama biasanya berisi file terkait SELinux berikut:

selinux_version
sepolicy: output biner setelah menggabungkan file kebijakan (seperti, security_classes, initial_sids, dan *.te)
file_contexts
property_contexts
seapp_contexts
service_contexts
system/etc/mac_permissions.xml

Untuk mengetahui detail selengkapnya, lihat Menerapkan SELinux.

Inisialisasi SELinux

Saat sistem melakukan booting, SELinux berada dalam mode permisif (dan bukan dalam mode pemberlakuan). Proses init melakukan tugas berikut:

Memuat file sepolicy dari ramdisk ke kernel melalui /sys/fs/selinux/load.
Mengalihkan SELinux ke mode pemberlakuan.
Menjalankan re-exec() untuk menerapkan aturan domain SELinux ke dirinya sendiri.

Untuk mempersingkat waktu booting, lakukan re-exec() pada proses init sesegera mungkin.

Android 8.0 dan yang lebih tinggi

Di Android 8.0, kebijakan SELinux dibagi menjadi komponen platform dan vendor untuk memungkinkan update kebijakan platform/vendor yang independen sekaligus mempertahankan kompatibilitas.

Kebijakan keamanan platform dibagi lagi menjadi bagian pribadi platform dan publik platform untuk mengekspor jenis dan atribut tertentu ke penulis kebijakan vendor. Jenis/atribut publik platform dijamin akan dipertahankan sebagai API stabil untuk versi platform tertentu. Kompatibilitas dengan jenis/atribut publik platform versi sebelumnya dapat dijamin untuk beberapa versi menggunakan file pemetaan platform.

Proses build untuk Android 8.0

Kebijakan SELinux di Android 8.0 dibuat dengan menggabungkan bagian dari /system dan /vendor. Logika untuk menyiapkannya dengan tepat ada di /platform/system/sepolicy/Android.mk.

Kebijakan ada di lokasi berikut:

Lokasi	Berisi
`system/sepolicy/public`	API sepolicy platform
`system/sepolicy/private`	Detail implementasi platform (dapat diabaikan vendor)
`system/sepolicy/vendor`	File kebijakan dan konteks yang dapat digunakan vendor (vendor dapat mengabaikannya jika diinginkan)
`BOARD_SEPOLICY_DIRS`	SEPolicy vendor
`BOARD_ODM_SEPOLICY_DIRS` (Android 9 dan yang lebih tinggi)	Odm sepolicy
`SYSTEM_EXT_PUBLIC_SEPOLICY_DIRS` (Android 11 dan yang lebih baru)	API sepolicy System_ext
`SYSTEM_EXT_PRIVATE_SEPOLICY_DIRS` (Android 11 dan yang lebih baru)	Detail penerapan System_ext (vendor dapat mengabaikan)
`PRODUCT_PUBLIC_SEPOLICY_DIRS` (Android 11 dan yang lebih baru)	Product's sepolicy API
`PRODUCT_PRIVATE_SEPOLICY_DIRS` (Android 11 dan yang lebih baru)	Detail penerapan produk (vendor dapat mengabaikan)

Sistem build mengambil kebijakan ini dan menghasilkan komponen kebijakan sistem, system_ext, produk, vendor, dan odm di partisi yang sesuai. Langkah-langkahnya meliputi:

Mengonversi kebijakan ke format SELinux Common Intermediate Language (CIL), khususnya:
1. kebijakan platform publik (system + system_ext + product)
2. kebijakan gabungan pribadi + publik
3. kebijakan publik + vendor dan BOARD_SEPOLICY_DIRS
Membuat versi kebijakan yang disediakan oleh publik sebagai bagian dari kebijakan vendor. Dilakukan dengan menggunakan kebijakan CIL publik yang dihasilkan untuk menginformasikan kebijakan gabungan publik + vendor + BOARD_SEPOLICY_DIRS mengenai bagian mana yang harus diubah menjadi atribut yang akan ditautkan ke kebijakan platform.
Membuat file pemetaan yang menautkan bagian platform dan vendor. Awalnya, hal ini hanya menautkan jenis dari kebijakan publik dengan atribut yang sesuai dalam kebijakan vendor; selanjutnya, hal ini juga akan memberikan dasar untuk file yang dipertahankan dalam versi platform mendatang, sehingga memungkinkan kompatibilitas dengan penargetan kebijakan vendor pada versi platform ini.
Menggabungkan file kebijakan (jelaskan solusi dalam perangkat dan yang telah dikompilasi).
1. Gabungkan kebijakan pemetaan, platform, dan vendor.
2. Kompilasi file kebijakan biner output.

Kebijakan keamanan publik platform

Kebijakan keamanan publik platform mencakup semua yang ditentukan di bagian system/sepolicy/public. Platform dapat mengasumsikan bahwa jenis dan atribut yang ditentukan dalam kebijakan publik adalah API yang stabil untuk versi platform tertentu. Hal ini membentuk bagian sepolicy yang diekspor oleh platform tempat developer kebijakan vendor (yaitu, perangkat) dapat menulis kebijakan tambahan spesifik per perangkat.

Jenis diberi versi sesuai dengan versi kebijakan yang digunakan untuk menulis file vendor, yang ditentukan oleh variabel build PLATFORM_SEPOLICY_VERSION. Kebijakan publik yang diberi versi kemudian disertakan dengan kebijakan vendor dan (dalam bentuk aslinya) dalam kebijakan platform. Dengan demikian, kebijakan akhir mencakup kebijakan platform pribadi, sepolicy publik platform saat ini, kebijakan khusus perangkat, dan kebijakan publik versi yang sesuai dengan versi platform yang digunakan untuk menulis kebijakan perangkat.

Kebijakan keamanan pribadi platform

Kebijakan keamanan pribadi platform mencakup semua yang ditentukan di bagian /system/sepolicy/private. Bagian kebijakan ini membentuk jenis, izin, dan atribut khusus platform yang diperlukan untuk fungsi platform. Hal ini tidak diekspor ke penulis kebijakan vendor/device. Penulis kebijakan non-platform tidak boleh menulis ekstensi kebijakan mereka berdasarkan jenis/atribut/aturan yang ditentukan dalam kebijakan keamanan pribadi platform. Selain itu, aturan ini dapat diubah atau mungkin hilang sebagai bagian dari update khusus framework.

Pemetaan pribadi platform

Pemetaan pribadi platform mencakup pernyataan kebijakan yang memetakan atribut yang diekspos dalam kebijakan publik platform versi platform sebelumnya ke jenis konkret yang digunakan dalam kebijakan keamanan publik platform saat ini. Hal ini memastikan kebijakan vendor yang ditulis berdasarkan atribut publik platform dari versi sepolicy publik platform sebelumnya akan terus berfungsi. Pembuatan versi didasarkan pada set variabel build PLATFORM_SEPOLICY_VERSION di AOSP untuk versi platform tertentu. File pemetaan terpisah ada untuk setiap versi platform sebelumnya yang diharapkan dapat menerima kebijakan vendor dari platform ini. Untuk mengetahui detail selengkapnya, lihat Kompatibilitas.

Android 11 dan yang lebih baru

sepolicy system_ext dan produk

Di Android 11, kebijakan system_ext dan kebijakan produk ditambahkan. Seperti kebijakan sepolicy platform, kebijakan system_ext, dan kebijakan produk dibagi menjadi kebijakan publik dan kebijakan pribadi.

Kebijakan publik diekspor ke vendor. Jenis dan atribut menjadi API stabil, dan kebijakan vendor dapat merujuk ke jenis dan atribut dalam kebijakan publik. Jenis diberi versi sesuai dengan PLATFORM_SEPOLICY_VERSION, dan kebijakan yang diberi versi disertakan dalam kebijakan vendor. Kebijakan asli disertakan ke setiap partisi system_ext dan produk.

Kebijakan privasi berisi jenis, izin, dan atribut khusus system_ext dan khusus produk yang diperlukan untuk fungsi partisi system_ext dan produk. Kebijakan pribadi tidak terlihat oleh vendor, yang berarti bahwa aturan ini bersifat internal dan diizinkan untuk diubah.

Pemetaan system_ext dan produk

system_ext dan product diizinkan untuk mengekspor jenis publik yang ditetapkan ke vendor. Namun, tanggung jawab untuk mempertahankan kompatibilitas ada pada masing-masing partner. Untuk kompatibilitas, partner dapat menyediakan file pemetaan mereka sendiri yang memetakan atribut berversi dari versi sebelumnya ke jenis konkret yang digunakan dalam sepolicy publik saat ini.

Untuk menginstal file pemetaan untuk system_ext, tempatkan file cil yang berisi informasi pemetaan yang diinginkan ke {SYSTEM_EXT_PRIVATE_SEPOLICY_DIRS}/compat/{ver}/{ver}.cil, lalu tambahkan system_ext_{ver}.cil ke PRODUCT_PACKAGES.
Untuk menginstal file pemetaan produk, tempatkan file cil yang berisi informasi pemetaan yang diinginkan ke {PRODUCT_PRIVATE_SEPOLICY_DIRS}/compat/{ver}/{ver}.cil, lalu tambahkan product_{ver}.cil ke PRODUCT_PACKAGES.

Lihat contoh yang menambahkan file pemetaan partisi produk perangkat redbull.

Kebijakan SELinux yang telah dikompilasi sebelumnya

Sebelum mengaktifkan SELinux, init mengumpulkan semua file CIL dari partisi (system, system_ext, product, vendor, dan odm) lalu mengompilasinya menjadi kebijakan biner, format yang dapat dimuat ke kernel.init Karena kompilasi memerlukan waktu (biasanya 1-2 detik), file CIL akan dikompilasi sebelumnya pada waktu build dan ditempatkan di /vendor/etc/selinux/precompiled_sepolicy atau /odm/etc/selinux/precompiled_sepolicy, bersama dengan hash sha256 dari file CIL input. Saat runtime, init memeriksa apakah ada file kebijakan yang telah diperbarui dengan membandingkan hash. Jika tidak ada yang berubah, init akan memuat kebijakan yang telah dikompilasi sebelumnya. Jika tidak, init akan mengompilasi dengan cepat dan menggunakannya, bukan yang telah dikompilasi sebelumnya.

Lebih khusus lagi, kebijakan yang telah dikompilasi sebelumnya digunakan jika semua kondisi berikut terpenuhi. Di sini, {partition} merepresentasikan partisi tempat kebijakan yang telah dikompilasi sebelumnya berada: vendor atau odm.

/system/etc/selinux/plat_sepolicy_and_mapping.sha256 dan /{partition}/etc/selinux/precompiled_sepolicy.plat_sepolicy_and_mapping.sha256 ada dan identik.
/system_ext/etc/selinux/system_ext_sepolicy_and_mapping.sha256 dan /{partition}/etc/selinux/precompiled_sepolicy.system_ext_sepolicy_and_mapping.sha256 tidak ada. Atau keduanya ada dan identik.
/product/etc/selinux/product_sepolicy_and_mapping.sha256 dan /{partition}/etc/selinux/precompiled_sepolicy.product_sepolicy_and_mapping.sha256 tidak ada. Atau keduanya ada dan identik.

Jika ada yang berbeda, init akan kembali ke jalur kompilasi di perangkat. Lihat system/core/init/selinux.cpp untuk mengetahui detail selengkapnya.

Membuat kebijakan SELinux Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.