Android GKI内核5.15中的Landlock无特权访问控制机制解析

什么是Landlock？

Landlock是Linux内核提供的一种无特权访问控制机制，它允许进程（包括非特权进程）自主限制自身的权限。作为可堆叠的Linux安全模块(LSM)，Landlock能够创建安全沙盒，作为现有系统范围访问控制之外的额外安全层。

Landlock的核心特性

1. 无特权使用：普通用户进程可以自主应用Landlock规则
2. 层次化策略：支持多层级策略叠加，最多支持16层
3. 继承性：子进程自动继承父进程的Landlock限制
4. 文件系统控制：主要针对文件系统操作进行权限控制

Landlock规则与规则集

Landlock的基本构建块是规则(Rule)和规则集(Ruleset)：

• 规则：描述对特定对象的操作权限
• 规则集：包含一组规则的集合，用于限制线程及其子进程

实际应用示例

让我们通过一个实际例子来理解如何使用Landlock：

// 创建规则集属性，定义要处理的访问类型
struct landlock_ruleset_attr ruleset_attr = {
    .handled_access_fs =
        LANDLOCK_ACCESS_FS_EXECUTE |
        LANDLOCK_ACCESS_FS_WRITE_FILE |
        LANDLOCK_ACCESS_FS_READ_FILE |
        // 其他文件系统操作权限...
};

// 创建规则集
int ruleset_fd = landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);

// 添加规则：仅允许对/usr目录的读访问
struct landlock_path_beneath_attr path_beneath = {
    .allowed_access =
        LANDLOCK_ACCESS_FS_EXECUTE |
        LANDLOCK_ACCESS_FS_READ_FILE |
        LANDLOCK_ACCESS_FS_READ_DIR,
};
path_beneath.parent_fd = open("/usr", O_PATH | O_CLOEXEC);
landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH, &path_beneath, 0);

// 限制当前线程不再获取新权限
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);

// 应用Landlock规则集
landlock_restrict_self(ruleset_fd, 0);

文件系统访问权限层级

Landlock采用层级化策略设计：

1. 每次线程强制执行规则集时，都会在其Landlock域中添加一个新的策略层
2. 要访问文件路径，必须所有策略层都授予访问权限
3. 系统其他访问控制机制（如DAC、其他LSM策略等）也必须允许访问

特殊文件系统处理

Landlock对不同类型的文件系统有特殊处理：

1. 绑定挂载(Bind mounts)：权限限制会随绑定挂载传播
2. OverlayFS：上层、下层和合并目录被视为独立的文件层次结构
3. 特殊文件系统：如管道、套接字等目前无法直接限制

当前限制与注意事项

1. 文件重命名和链接：目前仅限于同一目录内操作
2. 文件系统拓扑修改：禁止mount和pivot_root操作
3. 规则集层数限制：最多16层叠加
4. 内存使用：规则集创建会占用内核内存，受cgroup限制

Landlock与其他安全机制对比

特性	Landlock	用户空间沙盒管理器	命名空间/容器
无特权使用	✓	✗	✗
细粒度控制	✓	部分	✗
避免竞态条件	✓	✗	✓
策略层次化	✓	部分	部分
自动继承	✓	✗	✓

适用场景与最佳实践

Landlock特别适合以下场景：

1. 应用程序需要自主限制自身权限
2. 需要创建细粒度的文件系统访问控制
3. 希望避免传统沙盒方案中的竞态条件问题

最佳实践建议：

1. 尽早应用Landlock规则，最好在程序初始化阶段
2. 仔细设计规则集，避免后期需要频繁添加新层
3. 对于可能启动其他应用程序的程序（如shell），要特别注意层数限制

总结

Android GKI内核5.15中的Landlock机制为开发者提供了一种强大的无特权访问控制工具。通过精细的文件系统操作限制，开发者可以构建更安全的应用程序沙盒，有效减少安全漏洞的影响范围。随着Landlock的持续演进，未来将支持更多类型的资源控制和更灵活的策略配置。