- Sandbox ligero para ejecutar procesos de Linux de forma segura usando Landlock LSM
- Similar a Firejail, pero ofrece seguridad a nivel de kernel y una sobrecarga mínima
- Seguridad a nivel de kernel: mediante Landlock LSM, el propio proceso establece las políticas de seguridad y controla su entorno de ejecución
- Minimiza la sobrecarga innecesaria para una ejecución ligera y rápida sin degradación del rendimiento
- Permite configurar permisos granulares de archivos y directorios, como lectura/escritura/ejecución
- Permite restringir el binding y las conexiones de puertos TCP
- Soporte de modo Best-Effort: aplica de forma flexible las políticas de seguridad disponibles según la versión del kernel para ofrecer compatibilidad
Requisitos
- Se requiere Linux kernel 5.13 o superior con Landlock LSM habilitado
- Las restricciones de red pueden usarse con Linux kernel 6.8 o superior (binding y conexiones TCP)
- Go 1.18 o superior (necesario al compilar desde el código fuente)
Limitaciones
- Landlock debe estar soportado por el kernel
- Las restricciones de red requieren Linux kernel 6.8 o superior y Landlock ABI v5
- Algunas tareas requieren permisos adicionales
- Los archivos o directorios abiertos antes de aplicar el sandbox no quedan sujetos a las restricciones de Landlock
1 comentarios
Linux Landlock es un módulo de seguridad nativo del kernel que permite que los procesos sin privilegios se aíslen a sí mismos, pero nadie lo usa porque la API es... ¡difícil!
No había escuchado de Landlock antes, pero se ve interesante.