StarFive Linux中的No New Privileges机制深度解析

什么是No New Privileges机制

在Linux系统中，execve系统调用通常允许新启动的程序获得其父进程所没有的特权。最常见的例子就是setuid/setgid程序和文件能力(capabilities)。为了防止父程序通过这些方式获得额外特权，内核和用户空间代码必须小心防止父进程进行任何可能破坏子进程的操作。

No New Privileges(简称no_new_privs)是Linux 3.5引入的一个通用机制，它使得进程可以安全地修改其执行环境，并且这些修改会在execve调用后持续生效。这个机制通过一个标志位来实现，一旦设置，它将通过fork、clone和execve继承，并且不能被取消。

工作原理

当一个任务设置了no_new_privs标志位后，execve()承诺不会授予任何在没有execve调用的情况下无法完成的特权。具体表现为：

1. setuid和setgid位将不再改变uid或gid
2. 文件能力不会添加到允许的能力集中
3. Linux安全模块(LSM)不会在execve后放松约束

设置no_new_privs的方法很简单，使用prctl系统调用：

prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);

使用注意事项

虽然no_new_privs提供了额外的安全保障，但需要注意以下几点：

1. LSM可能也不会在no_new_privs模式下加强对exec的约束。这意味着如果一个通用的服务启动器在exec守护进程之前设置了no_new_privs，可能会干扰基于LSM的沙箱功能。

2. no_new_privs不会阻止不涉及execve()的特权变更。适当特权的任务仍然可以调用setuid(2)和接收SCM_RIGHTS数据报。

主要应用场景

目前no_new_privs主要有两个应用场景：

1. seccomp模式2沙箱：为seccomp模式2安装的过滤器会在execve后持续存在，并能改变新执行程序的行为。非特权用户只有在设置了no_new_privs的情况下才被允许安装此类过滤器。

2. 减少攻击面：单独使用no_new_privs可以减少非特权用户可用的攻击面。如果某个uid运行的所有程序都设置了no_new_privs，那么该uid将无法通过直接攻击setuid、setgid和使用文件能力的二进制文件来提升其特权。

未来发展潜力

未来，其他潜在危险的内核特性可能会在设置了no_new_privs的情况下对非特权任务开放。原则上，unshare(2)和clone(2)的几个选项在设置no_new_privs时是安全的，而且no_new_privs + chroot组合比单独使用chroot要安全得多。

实际应用建议

对于系统安全设计者，可以考虑以下应用策略：

1. 在需要运行不受信任代码的环境中，优先考虑启用no_new_privs
2. 结合seccomp使用可以构建更强大的沙箱环境
3. 对于服务启动器，评估是否需要在exec前设置no_new_privs以限制服务权限
4. 在多用户系统中，可以考虑为低权限用户默认启用此标志

通过合理使用no_new_privs机制，可以显著提高系统的安全性，特别是在需要限制特权提升的场景下。