首页
/ Android GKI内核5.15中的Landlock无特权访问控制机制解析

Android GKI内核5.15中的Landlock无特权访问控制机制解析

2025-06-19 22:03:19作者:伍希望

什么是Landlock?

Landlock是Linux内核提供的一种无特权访问控制机制,它允许进程(包括非特权进程)自主限制自身的权限。作为可堆叠的Linux安全模块(LSM),Landlock能够创建安全沙盒,作为现有系统范围访问控制之外的额外安全层。

Landlock的核心特性

  1. 无特权使用:普通用户进程可以自主应用Landlock规则
  2. 层次化策略:支持多层级策略叠加,最多支持16层
  3. 继承性:子进程自动继承父进程的Landlock限制
  4. 文件系统控制:主要针对文件系统操作进行权限控制

Landlock规则与规则集

Landlock的基本构建块是规则(Rule)和规则集(Ruleset):

  • 规则:描述对特定对象的操作权限
  • 规则集:包含一组规则的集合,用于限制线程及其子进程

实际应用示例

让我们通过一个实际例子来理解如何使用Landlock:

// 创建规则集属性,定义要处理的访问类型
struct landlock_ruleset_attr ruleset_attr = {
    .handled_access_fs =
        LANDLOCK_ACCESS_FS_EXECUTE |
        LANDLOCK_ACCESS_FS_WRITE_FILE |
        LANDLOCK_ACCESS_FS_READ_FILE |
        // 其他文件系统操作权限...
};

// 创建规则集
int ruleset_fd = landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);

// 添加规则:仅允许对/usr目录的读访问
struct landlock_path_beneath_attr path_beneath = {
    .allowed_access =
        LANDLOCK_ACCESS_FS_EXECUTE |
        LANDLOCK_ACCESS_FS_READ_FILE |
        LANDLOCK_ACCESS_FS_READ_DIR,
};
path_beneath.parent_fd = open("/usr", O_PATH | O_CLOEXEC);
landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH, &path_beneath, 0);

// 限制当前线程不再获取新权限
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);

// 应用Landlock规则集
landlock_restrict_self(ruleset_fd, 0);

文件系统访问权限层级

Landlock采用层级化策略设计:

  1. 每次线程强制执行规则集时,都会在其Landlock域中添加一个新的策略层
  2. 要访问文件路径,必须所有策略层都授予访问权限
  3. 系统其他访问控制机制(如DAC、其他LSM策略等)也必须允许访问

特殊文件系统处理

Landlock对不同类型的文件系统有特殊处理:

  1. 绑定挂载(Bind mounts):权限限制会随绑定挂载传播
  2. OverlayFS:上层、下层和合并目录被视为独立的文件层次结构
  3. 特殊文件系统:如管道、套接字等目前无法直接限制

当前限制与注意事项

  1. 文件重命名和链接:目前仅限于同一目录内操作
  2. 文件系统拓扑修改:禁止mount和pivot_root操作
  3. 规则集层数限制:最多16层叠加
  4. 内存使用:规则集创建会占用内核内存,受cgroup限制

Landlock与其他安全机制对比

特性 Landlock 用户空间沙盒管理器 命名空间/容器
无特权使用
细粒度控制 部分
避免竞态条件
策略层次化 部分 部分
自动继承

适用场景与最佳实践

Landlock特别适合以下场景:

  1. 应用程序需要自主限制自身权限
  2. 需要创建细粒度的文件系统访问控制
  3. 希望避免传统沙盒方案中的竞态条件问题

最佳实践建议:

  1. 尽早应用Landlock规则,最好在程序初始化阶段
  2. 仔细设计规则集,避免后期需要频繁添加新层
  3. 对于可能启动其他应用程序的程序(如shell),要特别注意层数限制

总结

Android GKI内核5.15中的Landlock机制为开发者提供了一种强大的无特权访问控制工具。通过精细的文件系统操作限制,开发者可以构建更安全的应用程序沙盒,有效减少安全漏洞的影响范围。随着Landlock的持续演进,未来将支持更多类型的资源控制和更灵活的策略配置。

登录后查看全文

相关内容推荐

热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
154
1.98 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
941
555
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
405
387
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
992
395
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
510
44
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.32 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
194
279