Android GKI内核5.15中的Landlock无特权访问控制机制解析
2025-06-19 03:07:57作者:伍希望
什么是Landlock?
Landlock是Linux内核提供的一种无特权访问控制机制,它允许进程(包括非特权进程)自主限制自身的权限。作为可堆叠的Linux安全模块(LSM),Landlock能够创建安全沙盒,作为现有系统范围访问控制之外的额外安全层。
Landlock的核心特性
- 无特权使用:普通用户进程可以自主应用Landlock规则
- 层次化策略:支持多层级策略叠加,最多支持16层
- 继承性:子进程自动继承父进程的Landlock限制
- 文件系统控制:主要针对文件系统操作进行权限控制
Landlock规则与规则集
Landlock的基本构建块是规则(Rule)和规则集(Ruleset):
- 规则:描述对特定对象的操作权限
- 规则集:包含一组规则的集合,用于限制线程及其子进程
实际应用示例
让我们通过一个实际例子来理解如何使用Landlock:
// 创建规则集属性,定义要处理的访问类型
struct landlock_ruleset_attr ruleset_attr = {
.handled_access_fs =
LANDLOCK_ACCESS_FS_EXECUTE |
LANDLOCK_ACCESS_FS_WRITE_FILE |
LANDLOCK_ACCESS_FS_READ_FILE |
// 其他文件系统操作权限...
};
// 创建规则集
int ruleset_fd = landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
// 添加规则:仅允许对/usr目录的读访问
struct landlock_path_beneath_attr path_beneath = {
.allowed_access =
LANDLOCK_ACCESS_FS_EXECUTE |
LANDLOCK_ACCESS_FS_READ_FILE |
LANDLOCK_ACCESS_FS_READ_DIR,
};
path_beneath.parent_fd = open("/usr", O_PATH | O_CLOEXEC);
landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH, &path_beneath, 0);
// 限制当前线程不再获取新权限
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);
// 应用Landlock规则集
landlock_restrict_self(ruleset_fd, 0);
文件系统访问权限层级
Landlock采用层级化策略设计:
- 每次线程强制执行规则集时,都会在其Landlock域中添加一个新的策略层
- 要访问文件路径,必须所有策略层都授予访问权限
- 系统其他访问控制机制(如DAC、其他LSM策略等)也必须允许访问
特殊文件系统处理
Landlock对不同类型的文件系统有特殊处理:
- 绑定挂载(Bind mounts):权限限制会随绑定挂载传播
- OverlayFS:上层、下层和合并目录被视为独立的文件层次结构
- 特殊文件系统:如管道、套接字等目前无法直接限制
当前限制与注意事项
- 文件重命名和链接:目前仅限于同一目录内操作
- 文件系统拓扑修改:禁止mount和pivot_root操作
- 规则集层数限制:最多16层叠加
- 内存使用:规则集创建会占用内核内存,受cgroup限制
Landlock与其他安全机制对比
| 特性 | Landlock | 用户空间沙盒管理器 | 命名空间/容器 |
|---|---|---|---|
| 无特权使用 | ✓ | ✗ | ✗ |
| 细粒度控制 | ✓ | 部分 | ✗ |
| 避免竞态条件 | ✓ | ✗ | ✓ |
| 策略层次化 | ✓ | 部分 | 部分 |
| 自动继承 | ✓ | ✗ | ✓ |
适用场景与最佳实践
Landlock特别适合以下场景:
- 应用程序需要自主限制自身权限
- 需要创建细粒度的文件系统访问控制
- 希望避免传统沙盒方案中的竞态条件问题
最佳实践建议:
- 尽早应用Landlock规则,最好在程序初始化阶段
- 仔细设计规则集,避免后期需要频繁添加新层
- 对于可能启动其他应用程序的程序(如shell),要特别注意层数限制
总结
Android GKI内核5.15中的Landlock机制为开发者提供了一种强大的无特权访问控制工具。通过精细的文件系统操作限制,开发者可以构建更安全的应用程序沙盒,有效减少安全漏洞的影响范围。随着Landlock的持续演进,未来将支持更多类型的资源控制和更灵活的策略配置。
登录后查看全文
相关内容推荐
热门项目推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0191
cann-learning-hubCANN 学习中心仓,支持在线互动运行、边学边练,提供教程、示例与优化方案,一站式助力昇腾开发者快速上手。Jupyter Notebook0116
Step-3.7-FlashStep-3.7-Flash是一个拥有 1980 亿参数的稀疏混合专家(MoE)视觉语言模型,由 1960 亿参数的语言主干网络和 18 亿参数的视觉编码器组合而成,具备原生图像理解能力。Python00
JoyAI-EchoJoyAI-Echo,这是一个独立的、仅用于推理的版本,旨在实现分钟级多镜头音视频生成。它采用了经过蒸馏的DMD生成器、配对的跨模态记忆以及故事级别的一致性。其性能的核心在于,一个跨模态视听记忆库能够在长达五分钟的视频中保持角色外观和语音音色的一致性。同时,一个训练后处理流程将基于记忆的强化学习与分布匹配蒸馏相结合,实现了7.5倍的速度提升,显著增强了视觉质量和对齐效果。00
omega-aiOmega-AI:基于java打造的深度学习框架,帮助你快速搭建神经网络,实现模型推理与训练,引擎支持自动求导,多线程与GPU运算,GPU支持CUDA,CUDNN。Java04
llm-universe本项目是一个面向小白开发者的大模型应用开发教程,在线阅读地址:https://datawhalechina.github.io/llm-universe/Jupyter Notebook08
热门内容推荐
最新内容推荐
项目优选
收起
docs暂无描述
Dockerfile
763
4.97 K
ops-transformer本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。
C++
856
1.92 K
ops-nn本项目是CANN提供的神经网络类计算算子库,实现网络在NPU上加速计算。
C++
677
1.33 K
pytorchAscend Extension for PyTorch
Python
719
875
kerneldeepin linux kernel
C
32
16
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
455
437
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
1.07 K
1.09 K
MindSpeed-MM华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
150
252
cann-learning-hubCANN 学习中心仓,支持在线互动运行、边学边练,提供教程、示例与优化方案,一站式助力昇腾开发者快速上手。
Jupyter Notebook
297
116
MindSpeed-LLM昇腾LLM分布式训练框架
Python
178
220