- Landlock LSM を使って Linux プロセスを安全に実行する軽量サンドボックス
- Firejail に似ているが、カーネルレベルのセキュリティと最小限のオーバーヘッドを提供
- カーネルレベルのセキュリティ: Landlock LSM を通じて、プロセス自体がセキュリティポリシーを設定し、実行環境を制御
- 不要なオーバーヘッドを最小限に抑え、性能低下なしで 軽量かつ高速に実行
- 読み取り/書き込み/実行など、ファイルおよびディレクトリの細かな権限設定が可能
- TCP ポートのバインドおよび接続の制限が可能
- Best-Effort モード対応: カーネルバージョンに応じて利用可能なセキュリティポリシーを柔軟に適用し、互換性を提供
要件
- Linux カーネル 5.13 以上 で Landlock LSM の有効化が必要
- Linux カーネル 6.8 以上 でネットワーク制限が利用可能(TCP バインドおよび接続)
- Go 1.18 以上(ソースからビルドする場合に必要)
制限事項
- Landlock はカーネルでサポートされている必要がある
- ネットワーク制限には Linux カーネル 6.8 以上と Landlock ABI v5 が必要
- 一部の作業には追加権限が必要
- サンドボックス適用前に開かれたファイルやディレクトリには Landlock の制限が適用されない
1件のコメント
Linux Landlock は、特権を持たないプロセスが自分自身をサンドボックス化できるカーネルネイティブのセキュリティモジュールですが、API が……難しいため、誰も使っていません!
Landlock は初めて聞きましたが、興味深いですね