Android GKI内核5.15中的Landlock无特权访问控制机制解析
2025-06-19 03:07:57作者:伍希望
什么是Landlock?
Landlock是Linux内核提供的一种无特权访问控制机制,它允许进程(包括非特权进程)自主限制自身的权限。作为可堆叠的Linux安全模块(LSM),Landlock能够创建安全沙盒,作为现有系统范围访问控制之外的额外安全层。
Landlock的核心特性
- 无特权使用:普通用户进程可以自主应用Landlock规则
- 层次化策略:支持多层级策略叠加,最多支持16层
- 继承性:子进程自动继承父进程的Landlock限制
- 文件系统控制:主要针对文件系统操作进行权限控制
Landlock规则与规则集
Landlock的基本构建块是规则(Rule)和规则集(Ruleset):
- 规则:描述对特定对象的操作权限
- 规则集:包含一组规则的集合,用于限制线程及其子进程
实际应用示例
让我们通过一个实际例子来理解如何使用Landlock:
// 创建规则集属性,定义要处理的访问类型
struct landlock_ruleset_attr ruleset_attr = {
.handled_access_fs =
LANDLOCK_ACCESS_FS_EXECUTE |
LANDLOCK_ACCESS_FS_WRITE_FILE |
LANDLOCK_ACCESS_FS_READ_FILE |
// 其他文件系统操作权限...
};
// 创建规则集
int ruleset_fd = landlock_create_ruleset(&ruleset_attr, sizeof(ruleset_attr), 0);
// 添加规则:仅允许对/usr目录的读访问
struct landlock_path_beneath_attr path_beneath = {
.allowed_access =
LANDLOCK_ACCESS_FS_EXECUTE |
LANDLOCK_ACCESS_FS_READ_FILE |
LANDLOCK_ACCESS_FS_READ_DIR,
};
path_beneath.parent_fd = open("/usr", O_PATH | O_CLOEXEC);
landlock_add_rule(ruleset_fd, LANDLOCK_RULE_PATH_BENEATH, &path_beneath, 0);
// 限制当前线程不再获取新权限
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);
// 应用Landlock规则集
landlock_restrict_self(ruleset_fd, 0);
文件系统访问权限层级
Landlock采用层级化策略设计:
- 每次线程强制执行规则集时,都会在其Landlock域中添加一个新的策略层
- 要访问文件路径,必须所有策略层都授予访问权限
- 系统其他访问控制机制(如DAC、其他LSM策略等)也必须允许访问
特殊文件系统处理
Landlock对不同类型的文件系统有特殊处理:
- 绑定挂载(Bind mounts):权限限制会随绑定挂载传播
- OverlayFS:上层、下层和合并目录被视为独立的文件层次结构
- 特殊文件系统:如管道、套接字等目前无法直接限制
当前限制与注意事项
- 文件重命名和链接:目前仅限于同一目录内操作
- 文件系统拓扑修改:禁止mount和pivot_root操作
- 规则集层数限制:最多16层叠加
- 内存使用:规则集创建会占用内核内存,受cgroup限制
Landlock与其他安全机制对比
| 特性 | Landlock | 用户空间沙盒管理器 | 命名空间/容器 |
|---|---|---|---|
| 无特权使用 | ✓ | ✗ | ✗ |
| 细粒度控制 | ✓ | 部分 | ✗ |
| 避免竞态条件 | ✓ | ✗ | ✓ |
| 策略层次化 | ✓ | 部分 | 部分 |
| 自动继承 | ✓ | ✗ | ✓ |
适用场景与最佳实践
Landlock特别适合以下场景:
- 应用程序需要自主限制自身权限
- 需要创建细粒度的文件系统访问控制
- 希望避免传统沙盒方案中的竞态条件问题
最佳实践建议:
- 尽早应用Landlock规则,最好在程序初始化阶段
- 仔细设计规则集,避免后期需要频繁添加新层
- 对于可能启动其他应用程序的程序(如shell),要特别注意层数限制
总结
Android GKI内核5.15中的Landlock机制为开发者提供了一种强大的无特权访问控制工具。通过精细的文件系统操作限制,开发者可以构建更安全的应用程序沙盒,有效减少安全漏洞的影响范围。随着Landlock的持续演进,未来将支持更多类型的资源控制和更灵活的策略配置。
登录后查看全文
热门项目推荐
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00
GLM-4.7-FlashGLM-4.7-Flash 是一款 30B-A3B MoE 模型。作为 30B 级别中的佼佼者,GLM-4.7-Flash 为追求性能与效率平衡的轻量化部署提供了全新选择。Jinja00
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin07
compass-metrics-modelMetrics model project for the OSS CompassPython00
项目优选
收起
kerneldeepin linux kernel
C
27
11
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
522
3.71 K
pytorchAscend Extension for PyTorch
Python
327
384
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
875
576
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
334
161
flutter_flutter暂无简介
Dart
762
184
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.32 K
744
nop-entropyNop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
302
349
MindSpeed-MM华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
112
134