WSL2 Linux内核中的No New Privileges机制深度解析

WSL2 Linux内核中的No New Privileges机制深度解析

WSL2-Linux-Kernel The source for the Linux kernel used in Windows Subsystem for Linux 2 (WSL2) 项目地址: https://gitcode.com/gh_mirrors/ws/WSL2-Linux-Kernel

什么是No New Privileges机制

No New Privileges（简称NNP）是Linux内核从3.5版本开始引入的一项重要安全特性，它通过一个简单的标志位来防止进程通过execve系统调用获得新的权限。在WSL2的Linux内核实现中，这一机制得到了完整的支持，为Windows Subsystem for Linux提供了额外的安全层。

为什么需要NNP机制

在传统Unix/Linux系统中，execve系统调用执行新程序时，可能会赋予新程序一些父进程不具备的特权，这主要通过以下几种方式实现：

1. setuid/setgid程序：当执行设置了setuid或setgid位的程序时，进程的有效用户ID或组ID会改变
2. 文件能力（file capabilities）：可执行文件可以携带特殊的能力标志
3. 安全模块（LSM）可能会在execve时放松限制

这些特性虽然有用，但也带来了安全隐患。攻击者可能利用这些特性进行权限提升。NNP机制就是为了解决这一问题而设计的通用解决方案。

NNP的工作原理

NNP通过一个进程标志位来实现其功能：

1. 任何任务都可以通过prctl系统调用设置NNP标志
2. 一旦设置，这个标志会通过fork、clone和execve继承
3. 设置后无法取消
4. 当NNP标志设置时，execve承诺不会授予任何新的特权

具体来说，当NNP标志设置时：

• setuid和setgid位不会改变uid或gid
• 文件能力不会添加到允许的能力集中
• 安全模块不会在execve后放松约束

如何使用NNP

在代码中设置NNP标志非常简单：

prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);

但需要注意一个重要细节：某些安全模块在NNP模式下可能也不会在exec时加强约束。这意味着如果一个通用的服务启动器设置了NNP标志再执行守护进程，可能会干扰基于安全模块的沙箱功能。

NNP的典型应用场景

在WSL2环境中，NNP主要有两个重要用途：

1. seccomp过滤器：seccomp模式2的沙箱过滤器在execve后仍然有效，可以改变新执行程序的行为。非特权用户只有在设置了NNP后才能安装此类过滤器。

2. 减少攻击面：NNP本身可以用来减少非特权用户可用的攻击面。如果某个uid下的所有进程都设置了NNP，那么这个uid将无法通过直接攻击setuid、setgid和使用文件能力的二进制文件来提升权限。

NNP的限制与注意事项

虽然NNP是强大的安全工具，但也有其局限性：

1. 它只影响通过execve获得的权限，不影响其他权限变更方式。例如，适当特权的任务仍然可以调用setuid(2)和接收SCM_RIGHTS数据报。

2. NNP不阻止不涉及execve()的权限变更。

3. 在某些情况下，NNP可能会干扰安全模块的正常工作。

未来发展方向

NNP机制为Linux内核安全特性的发展提供了新的可能性。未来，一些潜在危险的内核特性可能会在NNP设置的情况下对非特权任务开放，例如：

• unshare(2)和clone(2)的某些选项在NNP设置时可能是安全的
• NNP与chroot结合使用时，危险性比单独使用chroot要小得多

在WSL2中的特殊考量

WSL2作为Windows子系统运行Linux内核，其安全模型与原生Linux有所不同。NNP机制在WSL2环境中提供了额外的安全保障，特别是在多用户场景和容器化应用中。开发者在使用WSL2进行开发时，应当了解NNP机制，以便更好地控制进程权限和系统安全。

通过合理使用NNP，WSL2用户可以构建更安全的开发环境，防止意外或恶意的权限提升，同时保持Linux环境的灵活性和功能性。

WSL2-Linux-Kernel The source for the Linux kernel used in Windows Subsystem for Linux 2 (WSL2) 项目地址: https://gitcode.com/gh_mirrors/ws/WSL2-Linux-Kernel