- Landlock LSM kullanarak Linux süreçlerini güvenli biçimde çalıştıran hafif bir sandbox
- Firejail'e benzer, ancak çekirdek düzeyinde güvenlik ve minimum ek yük sunuyor
- Çekirdek düzeyinde güvenlik: Landlock LSM aracılığıyla süreç, güvenlik politikasını kendisi tanımlar ve çalışma ortamını kontrol eder
- Gereksiz ek yükü en aza indirerek performans kaybı olmadan hafif ve hızlı çalışma sağlar
- Okuma/yazma/çalıştırma gibi ayrıntılı dosya ve dizin izinleri ayarlanabilir
- TCP port bağlama ve bağlantıları kısıtlama mümkün
- Best-Effort modu desteği: Çekirdek sürümüne göre kullanılabilir güvenlik politikalarını esnek biçimde uygulayarak uyumluluk sağlar
Gereksinimler
- Linux çekirdeği 5.13 ve üzeri sürümlerde Landlock LSM'in etkin olması gerekir
- Linux çekirdeği 6.8 ve üzeri sürümlerde ağ kısıtlamaları kullanılabilir (TCP bind ve bağlantılar)
- Go 1.18 ve üzeri (kaynaktan derleme için gerekli)
Sınırlamalar
- Landlock'un çekirdek tarafından desteklenmesi gerekir
- Ağ kısıtlamaları için Linux çekirdeği 6.8 ve üzeri ile Landlock ABI v5 gerekir
- Bazı işlemler ek izinler gerektirir
- Sandbox uygulanmadan önce açılmış dosya veya dizinlere Landlock kısıtlamaları uygulanmaz
1 yorum
Linux Landlock, ayrıcalıksız süreçlerin kendilerini sandbox içine almasına olanak tanıyan çekirdek yerleşik bir güvenlik modülü — ama API’si ... zor olduğu için kimse kullanmıyor!
Landlock’u ilk kez duydum, ilginç görünüyor