首页
/ Android GKI内核5.15中的Landlock无特权访问控制机制解析

Android GKI内核5.15中的Landlock无特权访问控制机制解析

2025-06-19 22:03:19作者:伍希望

什么是Landlock?

Landlock是Linux内核提供的一种无特权访问控制机制,它允许进程(包括非特权进程)自主限制自身的权限。作为可堆叠的Linux安全模块(LSM),Landlock能够创建安全沙盒,作为现有系统范围访问控制之外的额外安全层。

Landlock的核心特性

  1. 无特权使用:普通用户进程可以自主应用Landlock规则
  2. 层次化策略:支持多层级策略叠加,最多支持16层
  3. 继承性:子进程自动继承父进程的Landlock限制
  4. 文件系统控制:主要针对文件系统操作进行权限控制

Landlock规则与规则集

Landlock的基本构建块是规则(Rule)和规则集(Ruleset):

  • 规则:描述对特定对象的操作权限
  • 规则集:包含一组规则的集合,用于限制线程及其子进程

实际应用示例

让我们通过一个实际例子来理解如何使用Landlock:

// 创建规则集属性,定义要处理的访问类型
struct landlock_ruleset_attr ruleset_attr = {
    .handled_access_fs =
        LANDLOCK_ACCESS_FS_EXECUTE |
        LANDLOCK_ACCESS_FS_WRITE_FILE |
        LANDLOCK_ACCESS_FS_READ_FILE |
        // 其他文件系统操作权限...
};

// 创建规则集
int ruleset_fd = landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);

// 添加规则:仅允许对/usr目录的读访问
struct landlock_path_beneath_attr path_beneath = {
    .allowed_access =
        LANDLOCK_ACCESS_FS_EXECUTE |
        LANDLOCK_ACCESS_FS_READ_FILE |
        LANDLOCK_ACCESS_FS_READ_DIR,
};
path_beneath.parent_fd = open("/usr", O_PATH | O_CLOEXEC);
landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH, &path_beneath, 0);

// 限制当前线程不再获取新权限
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);

// 应用Landlock规则集
landlock_restrict_self(ruleset_fd, 0);

文件系统访问权限层级

Landlock采用层级化策略设计:

  1. 每次线程强制执行规则集时,都会在其Landlock域中添加一个新的策略层
  2. 要访问文件路径,必须所有策略层都授予访问权限
  3. 系统其他访问控制机制(如DAC、其他LSM策略等)也必须允许访问

特殊文件系统处理

Landlock对不同类型的文件系统有特殊处理:

  1. 绑定挂载(Bind mounts):权限限制会随绑定挂载传播
  2. OverlayFS:上层、下层和合并目录被视为独立的文件层次结构
  3. 特殊文件系统:如管道、套接字等目前无法直接限制

当前限制与注意事项

  1. 文件重命名和链接:目前仅限于同一目录内操作
  2. 文件系统拓扑修改:禁止mount和pivot_root操作
  3. 规则集层数限制:最多16层叠加
  4. 内存使用:规则集创建会占用内核内存,受cgroup限制

Landlock与其他安全机制对比

特性 Landlock 用户空间沙盒管理器 命名空间/容器
无特权使用
细粒度控制 部分
避免竞态条件
策略层次化 部分 部分
自动继承

适用场景与最佳实践

Landlock特别适合以下场景:

  1. 应用程序需要自主限制自身权限
  2. 需要创建细粒度的文件系统访问控制
  3. 希望避免传统沙盒方案中的竞态条件问题

最佳实践建议:

  1. 尽早应用Landlock规则,最好在程序初始化阶段
  2. 仔细设计规则集,避免后期需要频繁添加新层
  3. 对于可能启动其他应用程序的程序(如shell),要特别注意层数限制

总结

Android GKI内核5.15中的Landlock机制为开发者提供了一种强大的无特权访问控制工具。通过精细的文件系统操作限制,开发者可以构建更安全的应用程序沙盒,有效减少安全漏洞的影响范围。随着Landlock的持续演进,未来将支持更多类型的资源控制和更灵活的策略配置。

登录后查看全文

相关内容推荐

1 Android GKI内核5.15开发指南:Linux内核黑客不可靠指南2 KernelSU-Next v1.0.5版本深度解析:内核级Root管理新突破3 Android GKI内核5.15中的No New Privileges机制解析4 Android GKI内核5.15中的RDMA控制器详解5 Android GKI内核5.15中的Seccomp BPF安全机制详解6 Android GKI内核5.15中的锁死监控机制深度解析7 Android GKI内核5.15中的进程数控制器详解8 Android GKI内核5.15中的unshare系统调用深度解析9 Android GKI内核5.15平台性能配置详解:sysfs-platform_profile机制解析10 Android GKI内核5.15中的锁机制详解
热门项目推荐

热门内容推荐

1 Awesome项目中的机器学习资源整合探讨2 Awesome项目Windows资源链接修复事件解析

最新内容推荐

ZLIB 1.3 静态库 Windows x64 版本:高效数据压缩解决方案完全指南 JavaWeb企业门户网站源码 - 企业级门户系统开发指南 WebVideoDownloader:高效网页视频抓取工具全面使用指南 海能达HP680CPS-V2.0.01.004chs写频软件:专业对讲机配置管理利器 STM32到GD32项目移植完全指南:从兼容性到实战技巧 昆仑通态MCGS与台达VFD-M变频器通讯程序详解:工业自动化控制完美解决方案 瀚高迁移工具migration-4.1.4:企业级数据库迁移的智能解决方案 PANTONE潘通AI色板库:设计师必备的色彩管理利器 CrystalIndex资源文件管理系统:高效索引与文件管理的最佳实践指南 PhysioNet医学研究数据库:临床数据分析与生物信号处理的权威资源指南

项目优选

收起
kernelkernel
deepin linux kernel
C
23
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
225
2.27 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
212
287
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
9
1
flutter_flutterflutter_flutter
暂无简介
Dart
527
116
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
987
583
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
148
197
GLM-4.6GLM-4.6
GLM-4.6在GLM-4.5基础上全面升级:200K超长上下文窗口支持复杂任务,代码性能大幅提升,前端页面生成更优。推理能力增强且支持工具调用,智能体表现更出色,写作风格更贴合人类偏好。八项公开基准测试显示其全面超越GLM-4.5,比肩DeepSeek-V3.1-Terminus等国内外领先模型。【此简介由AI生成】
Jinja
47
0
arkui_for_androidarkui_for_android
ArkUI-X adaptation to Android | ArkUI-X支持Android平台的适配层
C++
39
55
arkui_for_iosarkui_for_ios
ArkUI-X adaptation to iOS | ArkUI-X支持iOS平台的适配层
Objective-C++
19
44