Linux 5.15安全特性之landlock

最新推荐文章于 2023-12-24 16:29:42 发布
最新推荐文章于 2023-12-24 16:29:42 发布
阅读量1.5k 收藏 7
点赞数 24
分类专栏: 系统安全 文章标签: linux 系统安全 网络安全 arm开发 iot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/134816591
版权

Landlock是一个在Linux内核中实现的安全模型,它允许进程在较低的特权级别下运行,并限制其对内核和系统资源的访问。它提供了一种细粒度的权限控制机制,可以用于创建沙盒环境和隔离敏感操作。

Landlock的实现基于eBPF(Extended Berkeley Packet Filter)技术,在Linux 5.15内核中引入了对Landlock的支持。它使用eBPF程序作为安全策略的表达方式,通过BPF虚拟机执行这些程序来进行权限控制。

具体来说,Landlock通过以下方式实现了权限控制:

1. Landlock域(landlock_domain)

一个Landlock域定义了一组资源和权限的集合,用于限制进程的访问。每个进程可以属于一个或多个Landlock域。

2. 资源和权限规则

通过eBPF程序定义资源和权限规则。资源可以是文件系统对象、网络接口或其他内核对象,而权限可以是读、写、执行等操作。这些规则定义了进程对资源的访问级别和方式。

3. 进程配置

每个进程可以使用`prctl()`系统调用来配置其Landlock域。进程可以将自己置于某个域中,并根据需要添加和删除资源和权限规则。

4. 执行权限检查

在进程进行操作时,Landlock会进行权限检查,根据规则确定是否允许操作。如果权限检查失败,操作将被拒绝,并返回适当的错误。

要使用Landlock这个新的安全特性,可以按照以下步骤进行:

1. 确认内核版本

确保Linux内核版本为5.15或更高。

2. 编写eBPF程序

使用eBPF语言编写适当的程序,定义资源和权限规则。可以使用libbpf库来开发和加载eBPF程序。

3. 调用prctl()系统调用

在应用程序中使用`prctl()`系统调用来配置进程的Landlock域。可以指定所属的域、添加和删除资源和权限规则。

4. 测试和调试

在配置Landlock后,测试和调试程序,确保权限控制正常工作,并遵循定义的规则。

如下是一个简单的C代码示例,演示如何使用Landlock来创建一个简单的沙盒。该沙盒将限制进程只能访问特定的目录和文件,并禁止执行外部命令。

首先需要确保系统具备Linux内核版本5.15或更高版本,并且已经安装了libbpf和liblandlock-dev库。

```c
#include <unistd.h>
#include <linux/landlock.h>
#include <sys/syscall.h>

int main() {
    // 创建 Landlock 域
    int landlock_fd = syscall(SYS_landlock_create_ruleset, 0);
    if (landlock_fd < 0) {
        perror("Failed to create Landlock ruleset");
        return -1;
    }

    // 添加文件访问规则
    struct landlock_ruleset_attr file_rules = {
        .rule_types = LANDLOCK_RULE_PATH,
        .rules = {
            {
                .path_beneath = {
                    .pathname = "/path/to/allowed/directory/*",
                    .dirname_len = sizeof("/path/to/allowed/directory/") - 1,
                },
                .rule_type = LANDLOCK_RULE_PATH_BENEATH,
                .permissions = LANDLOCK_R__OK,
            },
        },
        .rules_create_flags = 0,
    };

    int ret = syscall(SYS_landlock_add_rule, landlock_fd, &file_rules, 0);
    if (ret < 0) {
        perror("Failed to add file access rule");
        return -1;
    }

    // 添加命令执行规则
    struct landlock_ruleset_attr exec_rules = {
        .rule_types = LANDLOCK_RULE_FILE,
        .rules = {
            {
                .pathname = "/bin/",
                .rule_type = LANDLOCK_RULE_SUBPATH,
                .permissions = 0,  // 禁止执行命令
            },
        },
        .rules_create_flags = 0,
    };

    ret = syscall(SYS_landlock_add_rule, landlock_fd, &exec_rules, 0);
    if (ret < 0) {
        perror("Failed to add command execution rule");
        return -1;
    }

    // 将当前进程限制到 Landlock 域
    ret = syscall(SYS_landlock_restrict_self, landlock_fd, 0);
    if (ret < 0) {
        perror("Failed to restrict process to Landlock domain");
        return -1;
    }

    // 在沙盒中执行你的代码
    // 注意:无法访问被禁止的目录或执行被禁止的命令

    return 0;
}
```

这个示例代码使用了系统调用函数`syscall`,并通过`SYS_landlock_create_ruleset`、`SYS_landlock_add_rule`和`SYS_landlock_restrict_self`指定了Landlock规则,创建了一个Landlock域,并将当前进程限制在该域中。你可以根据自己的需求修改规则,以实现更具体的沙盒行为。请确保以root权限编译并运行该程序以便使用Landlock功能。

车联网安全杂货铺
关注
  • 24
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Landlock:一种新型Linux安全模块
qq_31830555的博客
06-12 2388
Landlock:一种新型Linux安全模块 一.Landlock简介   Landlock是一种Linux安全模块(Linux Security Module),其开发目的在于限制进程的权限,它允许进程创建沙箱(如:容器)作为安全层并在其内部定义安全规则,进程受安全规则的限制。如此,沙箱可以帮助减轻用户空间应用程序中bug或恶意行为(如进程被远程挟持)产生的安全影响。目前,landlock已发行到v18版本。 二.LSM框架原理   LSM框架(Linux Security Module)是Linux中一
Linux深度学习5.15(堡垒机)】
weixin_46559428的博客
05-15 517
【代码】【Linux深度学习5.15(堡垒机)】
宋宝华:评Linux 5.13内核
RToax
09-11 918
目录 Misc cgroup Landlock安全模块 系统调用的堆栈随机化 printk无锁ringbuffer的进一步优化 BPF可调用内核函数 公共的IO PAGE Fault支持 Linux 5.14于14小时之前发布了,而我5.13的总结还没有写出,我早觉得有写一点东西的必要了,这虽然于搬砖的码农毫不相干,但在追求进步的工程师那里,却大抵只能如此而已。为了不忘却的纪念,我们列出5.13内核的数个激动人心的新特性: Apple M1的初始 Misc cg...
Exynos4412 Linux Kernel 5.15移植过程记录(一)——解决编译内核出现mpc.h: gmp.h: No such file or director问题
weixin_42408707的博客
01-15 2981
Exynos4412 Linux Kernel移植过程记录(一)解决编译内核出现mpc.h: gmp.h: No such file or director问题
linux内核驱动的兼容性:4.1的定时器和5.15的定时器
02-02 811
linux内核驱动的兼容性:4.1的定时器和5.15的定时器
基于linux5.15.5的IMX 参考手册 --- 13
chocolate2018的博客
02-05 638
基于linux5.15.5的IMX 参考手册
linux 内核源码-版本linux-5.15.118
06-24
文件名:linux-5.15.118.tar.xz 文件发布日期: 2023-06-21 说明: 该版本是长期支持版本.
Linux 5.15.33
04-15
5.15.33
linux内核5.15.55版本文件
02-10
linux-5.15.55.tar.gz文件以及 RT-PREEMPT patch文件
linux 升级内核到5.15以上
最新发布
06-17
linux 升级内核到5.15以上
linux src 5.15.58
07-31
linux src 5.15.58
Ubuntu Linux更换内核版本(以5.15.0-71为例,x.xx.0-xx可通用)
qq_57973134的博客
12-24 3748
uname -r。
linux5.15以上内核已经支持ntfs读写
weixin_54705575的博客
06-10 501
不需要再安装ntfs-3g了,只是mount的命令参数要改为ntfs3
宋宝华:为了不忘却的纪念,评Linux 5.13内核
热门推荐
宋宝华
08-30 1万+
Linux 5.14于14小时之前发布了,而我5.13的总结还没有写出,我早觉得有写一点东西的必要了,这虽然于搬砖的码农毫不相干,但在追求进步的工程师那里,却大抵只能如此而已。为了不忘却的...
【译闻】Docker用以提高Linux内核安全性的三大热点技术
xinxinyunli的博客
06-13 462
前言 LinuxKit项目目前正在孵化几种用以提高Linux安全性的技术,包括Wireguard VPN和Landlock。今年4月18日,Docker正式对外发布一款开源工具包LinuxKit,用以构建容器优化的Linux发行版。目前,Docker想通过在其LinuxKit社区中孵出几个新生的Linux安全项目来提高Linux内核安全性。 对Docker公司来说,Docker的安全性至关...
linux 练习 5.15
SIKEBUSIKE的博客
05-15 199
1.编写简单的hello world脚本,查看脚本内容,并运行 2.练习加减乘除、比较等基本的算术运算 3.使用test命令对两个数值比较(等于、小于、大于等于),注释说明含义。 4.使用test命令对两个字符串比较(等于、非空、小于),注释说明含义。 5.使用test命令进行布尔运算,注释说明含义。 6.使用对文件类型、文件权限、文件比较等进行练习。注释说明含义。 7.使用if-elif结构完成功能。需查看脚本内容,并运行。 ...
LWN: KRSI——另一个BPF security module!
Linux News搬运工
01-21 1355
关注了就能看到更多这么棒的文章哦~KRSI — the other BPF security moduleByJonathan CorbetDecember 27, 2019BPF v...
Ubuntu-5.11到Ubuntu-5.15 内核升级
weixin_40209911的博客
12-15 4871
ubuntu 内核升级: 更新Ubuntu内核到最新版本 设置默认的驱动内核: Ubuntu 设置内核版本的GRUB默认启动
Linux 5.15 版本中优先级队列源码
06-09
Linux 5.15 版本中优先级队列的源码主要位于 `include/linux/prio_tree.h` 和 `lib/prio_tree.c` 文件中。 `include/linux/prio_tree.h` 文件中定义了 `struct prio_tree_root` 结构体,表示一个优先级队列的根节点。该结构体包含了一个指向红黑树根节点的指针、一个指向队列中最高优先级元素的指针以及一个指向队列中最低优先级元素的指针。此外,该文件中还定义了一些操作优先级队列的函数,如 `prio_tree_insert()`、`prio_tree_delete()`、`prio_tree_replace()` 等。 `lib/prio_tree.c` 文件中实现了操作优先级队列的函数。其中,`prio_tree_insert()` 函数用于将新元素插入到队列中,`prio_tree_delete()` 函数用于删除指定元素,`prio_tree_replace()` 函数用于替换指定元素,`prio_tree_top()` 函数用于查找队列中最高优先级元素,`prio_tree_last()` 函数用于查找队列中最低优先级元素等。 以下是 `include/linux/prio_tree.h` 文件中 `struct prio_tree_root` 结构体的定义: ```c struct prio_tree_root { struct rb_root rb_root; // 指向红黑树根节点的指针 void *highest; // 指向队列中最高优先级元素的指针 void *lowest; // 指向队列中最低优先级元素的指针 }; ``` 以下是 `lib/prio_tree.c` 文件中 `prio_tree_insert()` 函数的实现: ```c void prio_tree_insert(struct prio_tree_root *root, struct prio_tree_node *node) { struct rb_node **new = &(root->rb_root.rb_node), *parent = NULL; while (*new) { struct prio_tree_node *this = rb_entry(*new, struct prio_tree_node, rb_node); parent = *new; if (node->prio < this->prio) new = &((*new)->rb_left); else new = &((*new)->rb_right); } rb_link_node(&node->rb_node, parent, new); rb_insert_color(&node->rb_node, &root->rb_root); if (!root->highest || node->prio < ((struct prio_tree_node *)root->highest)->prio) root->highest = node; if (!root->lowest || node->prio > ((struct prio_tree_node *)root->lowest)->prio) root->lowest = node; } ``` 以上是 Linux 5.15 版本中优先级队列的简单介绍和源码示例。由于篇幅有限,这里仅给出了部分相关代码,具体实现细节还需参考完整的源码文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值