android-cloexec-memfd-create¶
memfd_create() 应该在它的类型参数中包含 MFD_CLOEXEC 以避免文件描述符泄露。如果没有此标志,打开的敏感文件将在 fork+exec 到权限较低的 SELinux 域后仍然保持打开状态。
示例
memfd_create(name, MFD_ALLOW_SEALING);
// becomes
memfd_create(name, MFD_ALLOW_SEALING | MFD_CLOEXEC);
memfd_create() 应该在它的类型参数中包含 MFD_CLOEXEC 以避免文件描述符泄露。如果没有此标志,打开的敏感文件将在 fork+exec 到权限较低的 SELinux 域后仍然保持打开状态。
示例
memfd_create(name, MFD_ALLOW_SEALING);
// becomes
memfd_create(name, MFD_ALLOW_SEALING | MFD_CLOEXEC);