- Leichte Sandbox zum sicheren Ausführen von Linux-Prozessen mit Landlock LSM
- Ähnlich wie Firejail, aber mit Sicherheit auf Kernel-Ebene und minimalem Overhead
- Sicherheit auf Kernel-Ebene: Über Landlock LSM setzt der Prozess selbst Sicherheitsrichtlinien und steuert seine Ausführungsumgebung
- Minimiert unnötigen Overhead und ermöglicht dadurch eine leichte und schnelle Ausführung ohne Leistungseinbußen
- Feingranulare Berechtigungseinstellungen für Dateien und Verzeichnisse wie Lesen/Schreiben/Ausführen
- Einschränkungen für TCP-Port-Bindings und Verbindungen möglich
- Unterstützung für Best-Effort-Modus: Je nach Kernel-Version werden verfügbare Sicherheitsrichtlinien flexibel angewendet, um Kompatibilität zu bieten
Anforderungen
- Linux-Kernel 5.13 oder höher mit aktiviertem Landlock LSM erforderlich
- Linux-Kernel 6.8 oder höher für die Nutzung von Netzwerkeinschränkungen (TCP-Binding und Verbindungen)
- Go 1.18 oder höher (erforderlich beim Build aus dem Quellcode)
Einschränkungen
- Landlock muss vom Kernel unterstützt werden
- Netzwerkeinschränkungen erfordern Linux-Kernel 6.8 oder höher und Landlock ABI v5
- Einige Aufgaben erfordern zusätzliche Berechtigungen
- Dateien oder Verzeichnisse, die vor Anwendung der Sandbox geöffnet wurden, unterliegen nicht den Landlock-Einschränkungen
1 Kommentare
Linux Landlock ist ein Kernel-natives Sicherheitsmodul, mit dem sich nicht privilegierte Prozesse selbst sandboxes können – aber niemand nutzt es, weil die API … schwierig ist!
Von Landlock habe ich zum ersten Mal gehört, klingt interessant.