- Sandbox nhẹ để chạy tiến trình Linux an toàn bằng Landlock LSM
- Tương tự Firejail nhưng cung cấp bảo mật ở cấp độ kernel và mức overhead tối thiểu
- Bảo mật cấp độ kernel: thông qua Landlock LSM, bản thân tiến trình có thể thiết lập chính sách bảo mật và kiểm soát môi trường thực thi
- Giảm thiểu overhead không cần thiết để chạy nhẹ và nhanh mà không làm suy giảm hiệu năng
- Có thể thiết lập chi tiết quyền với tệp và thư mục như đọc/ghi/thực thi
- Có thể giới hạn việc bind và kết nối cổng TCP
- Hỗ trợ chế độ Best-Effort: linh hoạt áp dụng các chính sách bảo mật khả dụng tùy theo phiên bản kernel để đảm bảo tương thích
Yêu cầu
- Cần bật Landlock LSM trên Linux kernel 5.13 trở lên
- Có thể dùng giới hạn mạng trên Linux kernel 6.8 trở lên (bind và kết nối TCP)
- Go 1.18 trở lên (cần khi build từ mã nguồn)
Hạn chế
- Kernel phải hỗ trợ Landlock
- Giới hạn mạng yêu cầu Linux kernel 6.8 trở lên và Landlock ABI v5
- Một số tác vụ cần thêm quyền
- Các tệp hoặc thư mục đã được mở trước khi áp dụng sandbox sẽ không chịu giới hạn của Landlock
1 bình luận
Linux Landlock là một mô-đun bảo mật gốc của kernel cho phép các tiến trình không đặc quyền tự sandbox chính mình - nhưng không ai dùng nó vì API thì... khó!
Tôi mới nghe về Landlock lần đầu, khá thú vị đấy