Linux 5.15安全特性之landlock

Landlock是一个在Linux内核中实现的安全模型,它允许进程在较低的特权级别下运行,并限制其对内核和系统资源的访问。它提供了一种细粒度的权限控制机制,可以用于创建沙盒环境和隔离敏感操作。

Landlock的实现基于eBPF(Extended Berkeley Packet Filter)技术,在Linux 5.15内核中引入了对Landlock的支持。它使用eBPF程序作为安全策略的表达方式,通过BPF虚拟机执行这些程序来进行权限控制。

具体来说,Landlock通过以下方式实现了权限控制:

  1. Landlock域(landlock_domain)

一个Landlock域定义了一组资源和权限的集合,用于限制进程的访问。每个进程可以属于一个或多个Landlock域。

  1. 资源和权限规则

通过eBPF程序定义资源和权限规则。资源可以是文件系统对象、网络接口或其他内核对象,而权限可以是读、写、执行等操作。这些规则定义了进程对资源的访问级别和方式。

  1. 进程配置

每个进程可以使用`prctl()`系统调用来配置其Landlock域。进程可以将自己置于某个域中,并根据需要添加和删除资源和权限规则。

  1. 执行权限检查

在进程进行操作时,Landlock会进行权限检查,根据规则确定是否允许操作。如果权限检查失败,操作将被拒绝,并返回适当的错误。

要使用Landlock这个新的安全特性,可以按照以下步骤进行:

  1. 确认内核版本

确保Linux内核版本为5.15或更高。

  1. 编写eBPF程序

使用eBPF语言编写适当的程序,定义资源和权限规则。可以使用libbpf库来开发和加载eBPF程序。

  1. 调用prctl()系统调用

在应用程序中使用`prctl()`系统调用来配置进程的Landlock域。可以指定所属的域、添加和删除资源和权限规则。

  1. 测试和调试

在配置Landlock后,测试和调试程序,确保权限控制正常工作,并遵循定义的规则。

如下是一个简单的C代码示例,演示如何使用Landlock来创建一个简单的沙盒。该沙盒将限制进程只能访问特定的目录和文件,并禁止执行外部命令。

首先需要确保系统具备Linux内核版本5.15或更高版本,并且已经安装了libbpf和liblandlock-dev库。

```c

#include <unistd.h>

#include <linux/landlock.h>

#include <sys/syscall.h>

int main() {

// 创建 Landlock 域

int landlock_fd = syscall(SYS_landlock_create_ruleset, 0);

if (landlock_fd < 0) {

perror("Failed to create Landlock ruleset");

return -1;

}

// 添加文件访问规则

struct landlock_ruleset_attr file_rules = {

.rule_types = LANDLOCK_RULE_PATH,

.rules = {

{

.path_beneath = {

.pathname = "/path/to/allowed/directory/*",

.dirname_len = sizeof("/path/to/allowed/directory/") - 1,

},

.rule_type = LANDLOCK_RULE_PATH_BENEATH,

.permissions = LANDLOCK_R__OK,

},

},

.rules_create_flags = 0,

};

int ret = syscall(SYS_landlock_add_rule, landlock_fd, &file_rules, 0);

if (ret < 0) {

perror("Failed to add file access rule");

return -1;

}

// 添加命令执行规则

struct landlock_ruleset_attr exec_rules = {

.rule_types = LANDLOCK_RULE_FILE,

.rules = {

{

.pathname = "/bin/",

.rule_type = LANDLOCK_RULE_SUBPATH,

.permissions = 0, // 禁止执行命令

},

},

.rules_create_flags = 0,

};

ret = syscall(SYS_landlock_add_rule, landlock_fd, &exec_rules, 0);

if (ret < 0) {

perror("Failed to add command execution rule");

return -1;

}

// 将当前进程限制到 Landlock 域

ret = syscall(SYS_landlock_restrict_self, landlock_fd, 0);

if (ret < 0) {

perror("Failed to restrict process to Landlock domain");

return -1;

}

// 在沙盒中执行你的代码

// 注意:无法访问被禁止的目录或执行被禁止的命令

return 0;

}

```

这个示例代码使用了系统调用函数`syscall`,并通过`SYS_landlock_create_ruleset`、`SYS_landlock_add_rule`和`SYS_landlock_restrict_self`指定了Landlock规则,创建了一个Landlock域,并将当前进程限制在该域中。你可以根据自己的需求修改规则,以实现更具体的沙盒行为。请确保以root权限编译并运行该程序以便使用Landlock功能。

相关推荐
潘正翔1 天前
docker核心概念
linux·运维·服务器·docker·容器·centos·运维开发
weigangwin1 天前
agent-workspace-linux 不是远程桌面:Linux AI 工作区的隔离边界验收
linux·xvfb·mcp·桌面隔离·权限边界·bubblewrap·agent-workspace
Dovis(誓平步青云)1 天前
远程办公软件文件传输实测:6 款工具的速度、稳定性和办公体验对比
linux·运维·服务器·后端·生成对抗网络
Java小白笔记1 天前
Docker 安装配置完全指南:MacOS 、Windows、Linux环境下的安装、配置与验证
linux·macos·docker
2501_915106321 天前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
qetfw1 天前
CentOS 7 搭建 LDAP 目录服务
linux·运维·centos
ALINX技术博客1 天前
【黑金云课堂】FPGA技术教程Linux开发:系统进阶-PS DMA
linux·fpga开发
IT方大同1 天前
linux简介
linux·运维·服务器
mounter6251 天前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
Dlrb12111 天前
ARM架构---Cortex系列寄存器,重要内部模块,工作模式,异常处理等
arm开发·arm·指令集·arm工作模式·soc片上系统·ram与rom