Unblob项目中Landlock沙箱机制的文件权限问题分析

在文件解析工具Unblob中，Landlock作为Linux内核提供的安全沙箱机制，被用于限制进程对文件系统的访问权限。近期发现该机制在处理日志文件和报告文件时存在两个相反方向的权限问题：对日志文件限制过松，而对报告文件限制过严。

问题现象

当用户执行类似以下命令时：

unblob -e /tmp/foo --report /tmp/bar/report.json /path/to/file

会遇到权限拒绝错误。但如果将报告文件路径改为与提取目录相同：

unblob -e /tmp/foo --report /tmp/foo/report.json /path/to/file

则能正常工作。

技术分析

报告文件权限过严问题

根本原因在于沙箱规则中仅配置了ReadWrite权限，而缺少对父目录的MakeDir权限。当报告文件路径包含不存在的中间目录时，进程无法创建这些目录结构。

通过strace追踪可以看到：

openat(AT_FDCWD, "/tmp/bar/report.json", O_WRONLY|O_CREAT|O_TRUNC|O_CLOEXEC, 0666) = -1 EACCES

虽然能创建空文件，但无法进行写入操作。

日志文件权限过松问题

有趣的是，日志文件不受Landlock限制，因为其文件描述符是在沙箱激活前获取的。从系统调用跟踪可见：

openat(AT_FDCWD, "/tmp/logger/bar/unblob.log", O_WRONLY|O_CREAT|O_APPEND|O_CLOEXEC, 0666) = 3

这一操作发生在Landlock规则生效之前，使得后续所有日志写入操作都绕过了沙箱限制。

解决方案

正确的做法应该是：

1. 对于报告文件路径，需要添加对父目录的MakeDir权限，确保可以创建完整的目录结构
2. 对于日志文件，应将文件打开操作移至沙箱激活之后，或者显式添加相应的访问规则

安全启示

这个案例展示了安全机制实施中的常见陷阱：

• 权限粒度过粗可能导致安全绕过
• 操作时序对安全控制至关重要
• 完整的路径权限需要包含所有父目录的操作权限

在实现沙箱机制时，开发者需要仔细考虑每个文件操作的时序和上下文，确保安全控制既不会过于宽松导致保护失效，也不会过于严格影响正常功能。对于需要创建文件的场景，必须确保对父目录有适当的创建权限。同时，所有文件操作都应置于沙箱规则的监管之下，避免因操作时序问题产生安全盲区。