Android GKI内核5.15中的Landlock无特权访问控制机制解析
2025-06-19 03:07:57作者:伍希望
什么是Landlock?
Landlock是Linux内核提供的一种无特权访问控制机制,它允许进程(包括非特权进程)自主限制自身的权限。作为可堆叠的Linux安全模块(LSM),Landlock能够创建安全沙盒,作为现有系统范围访问控制之外的额外安全层。
Landlock的核心特性
- 无特权使用:普通用户进程可以自主应用Landlock规则
- 层次化策略:支持多层级策略叠加,最多支持16层
- 继承性:子进程自动继承父进程的Landlock限制
- 文件系统控制:主要针对文件系统操作进行权限控制
Landlock规则与规则集
Landlock的基本构建块是规则(Rule)和规则集(Ruleset):
- 规则:描述对特定对象的操作权限
- 规则集:包含一组规则的集合,用于限制线程及其子进程
实际应用示例
让我们通过一个实际例子来理解如何使用Landlock:
// 创建规则集属性,定义要处理的访问类型
struct landlock_ruleset_attr ruleset_attr = {
.handled_access_fs =
LANDLOCK_ACCESS_FS_EXECUTE |
LANDLOCK_ACCESS_FS_WRITE_FILE |
LANDLOCK_ACCESS_FS_READ_FILE |
// 其他文件系统操作权限...
};
// 创建规则集
int ruleset_fd = landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
// 添加规则:仅允许对/usr目录的读访问
struct landlock_path_beneath_attr path_beneath = {
.allowed_access =
LANDLOCK_ACCESS_FS_EXECUTE |
LANDLOCK_ACCESS_FS_READ_FILE |
LANDLOCK_ACCESS_FS_READ_DIR,
};
path_beneath.parent_fd = open("/usr", O_PATH | O_CLOEXEC);
landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH, &path_beneath, 0);
// 限制当前线程不再获取新权限
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);
// 应用Landlock规则集
landlock_restrict_self(ruleset_fd, 0);
文件系统访问权限层级
Landlock采用层级化策略设计:
- 每次线程强制执行规则集时,都会在其Landlock域中添加一个新的策略层
- 要访问文件路径,必须所有策略层都授予访问权限
- 系统其他访问控制机制(如DAC、其他LSM策略等)也必须允许访问
特殊文件系统处理
Landlock对不同类型的文件系统有特殊处理:
- 绑定挂载(Bind mounts):权限限制会随绑定挂载传播
- OverlayFS:上层、下层和合并目录被视为独立的文件层次结构
- 特殊文件系统:如管道、套接字等目前无法直接限制
当前限制与注意事项
- 文件重命名和链接:目前仅限于同一目录内操作
- 文件系统拓扑修改:禁止mount和pivot_root操作
- 规则集层数限制:最多16层叠加
- 内存使用:规则集创建会占用内核内存,受cgroup限制
Landlock与其他安全机制对比
| 特性 | Landlock | 用户空间沙盒管理器 | 命名空间/容器 |
|---|---|---|---|
| 无特权使用 | ✓ | ✗ | ✗ |
| 细粒度控制 | ✓ | 部分 | ✗ |
| 避免竞态条件 | ✓ | ✗ | ✓ |
| 策略层次化 | ✓ | 部分 | 部分 |
| 自动继承 | ✓ | ✗ | ✓ |
适用场景与最佳实践
Landlock特别适合以下场景:
- 应用程序需要自主限制自身权限
- 需要创建细粒度的文件系统访问控制
- 希望避免传统沙盒方案中的竞态条件问题
最佳实践建议:
- 尽早应用Landlock规则,最好在程序初始化阶段
- 仔细设计规则集,避免后期需要频繁添加新层
- 对于可能启动其他应用程序的程序(如shell),要特别注意层数限制
总结
Android GKI内核5.15中的Landlock机制为开发者提供了一种强大的无特权访问控制工具。通过精细的文件系统操作限制,开发者可以构建更安全的应用程序沙盒,有效减少安全漏洞的影响范围。随着Landlock的持续演进,未来将支持更多类型的资源控制和更灵活的策略配置。
登录后查看全文
热门项目推荐
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C051
MiniMax-M2.1从多语言软件开发自动化到复杂多步骤办公流程执行,MiniMax-M2.1 助力开发者构建下一代自主应用——全程保持完全透明、可控且易于获取。Python00
kylin-wayland-compositorkylin-wayland-compositor或kylin-wlcom(以下简称kywc)是一个基于wlroots编写的wayland合成器。 目前积极开发中,并作为默认显示服务器随openKylin系统发布。 该项目使用开源协议GPL-1.0-or-later,项目中来源于其他开源项目的文件或代码片段遵守原开源协议要求。C01
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7GLM-4.7上线并开源。新版本面向Coding场景强化了编码能力、长程任务规划与工具协同,并在多项主流公开基准测试中取得开源模型中的领先表现。 目前,GLM-4.7已通过BigModel.cn提供API,并在z.ai全栈开发模式中上线Skills模块,支持多模态任务的统一规划与协作。Jinja00
agent-studioopenJiuwen agent-studio提供零码、低码可视化开发和工作流编排,模型、知识库、插件等各资源管理能力TSX0126
Spark-Formalizer-X1-7BSpark-Formalizer 是由科大讯飞团队开发的专用大型语言模型,专注于数学自动形式化任务。该模型擅长将自然语言数学问题转化为精确的 Lean4 形式化语句,在形式化语句生成方面达到了业界领先水平。Python00
项目优选
收起
kerneldeepin linux kernel
C
26
10
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
446
3.35 K
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
825
398
pytorchAscend Extension for PyTorch
Python
250
285
flutter_flutter暂无简介
Dart
702
166
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
278
329
nop-entropyNop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
10
1
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.24 K
680
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
146
51
leetcode🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
65
19