Android GKI内核5.15中的No New Privileges机制解析

什么是No New Privileges机制

No New Privileges（简称NNP）是Linux内核提供的一种安全机制，它能够防止进程通过execve系统调用获得新的权限。在Android GKI内核5.15版本中，这一机制得到了良好的支持和应用。

为什么需要NNP机制

在传统Linux系统中，execve系统调用可能会赋予新启动的程序其父进程所没有的权限。典型的例子包括：

1. setuid/setgid程序：普通用户执行这些程序时会临时获得root或其他用户权限
2. 文件能力（file capabilities）：可执行文件本身可以携带特殊权限

这些特性虽然有用，但也带来了安全隐患。恶意程序可能利用这些机制进行权限提升攻击。NNP机制就是为了解决这一问题而设计的。

NNP的工作原理

NNP通过一个进程标志位来实现，一旦设置，它将：

1. 在fork、clone和execve时被子进程继承
2. 设置后无法取消
3. 确保execve不会授予任何额外的权限

具体来说，当NNP标志设置后：

• setuid和setgid位不再改变uid或gid
• 文件能力不会添加到允许的能力集中
• Linux安全模块(LSM)不会在execve后放松约束

如何使用NNP

在代码中设置NNP标志非常简单：

prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);

但需要注意，某些Linux安全模块(LSM)在NNP模式下可能也不会在exec时加强约束。这意味着如果一个通用的服务启动器设置了NNP再执行守护进程，可能会干扰基于LSM的沙箱机制。

NNP的典型应用场景

在Android GKI内核5.15中，NNP主要有两大用途：

1. Seccomp过滤器：Seccomp模式2的沙箱过滤器在execve后仍然有效，可以改变新执行程序的行为。只有设置了NNP的非特权用户才被允许安装此类过滤器。

2. 减少攻击面：通过为特定uid的所有进程设置NNP，可以防止该uid通过攻击setuid、setgid和使用文件能力的二进制文件来提升权限。攻击者必须先攻破没有设置NNP的进程。

NNP的局限性

需要明确的是，NNP并不能防止所有类型的权限变更：

1. 它只影响execve相关的权限变更
2. 适当特权的任务仍然可以调用setuid(2)
3. 进程仍然可以接收SCM_RIGHTS数据报

未来可能的扩展

在未来，NNP可能会解锁更多对非特权任务安全的内核特性：

1. unshare(2)和clone(2)的某些选项在NNP设置后可能变得安全
2. NNP+chroot组合比单独的chroot危险性小得多

实际应用建议

在Android开发中，特别是涉及安全敏感的操作时，建议：

1. 在执行不可信代码前设置NNP标志
2. 结合seccomp使用可以提供更强的安全保证
3. 注意NNP与现有LSM策略的交互影响

通过合理使用NNP机制，可以显著增强Android系统的安全性，防止多种类型的权限提升攻击。