内核安全模块：struct inode 中的 i_security

Question

我的问题可能又很简单，但我没有找到任何东西。我正在编写一个 Linux 安全模块。您可能知道，内核中的 struct inode 包含一个字段 i_security 来保存 LSM 的安全相关信息。现在只是为了确保：假设没有用户（甚至 root）无法读取或写入该值是否安全，即该值真的只能从内核空间访问吗？

我的问题的原因是，很明显，可以从用户空间访问一些 inode 数据（我猜是通过系统调用，但仍然使用 chmod 等。您可以更改 inode 中的某些值），现在我想知道这是否不这并不意味着所有 inode 数据（还有 i_security）都可以以某种方式从用户空间访问。

干杯

Answer 1

是的。可以使用grep或ack扫描i_security的内核代码，可以发现它只能被security/目录下的文件修改，而不能被用户应用程序修改，因为他们无法直接访问 i_security 字段。