- Sandbox leve para executar processos Linux com segurança usando Landlock LSM
- Semelhante ao Firejail, mas oferecendo segurança em nível de kernel e sobrecarga mínima
- Segurança em nível de kernel: por meio do Landlock LSM, o próprio processo define políticas de segurança e controla o ambiente de execução
- Minimiza sobrecarga desnecessária para oferecer execução leve e rápida sem perda de desempenho
- Permite configurar permissões granulares de arquivos e diretórios, como leitura, escrita e execução
- Permite restringir bind e conexões de portas TCP
- Suporte ao modo Best-Effort: aplica de forma flexível as políticas de segurança disponíveis conforme a versão do kernel, garantindo compatibilidade
Requisitos
- Linux kernel 5.13 ou superior com Landlock LSM habilitado
- Linux kernel 6.8 ou superior para uso de restrições de rede (bind e conexões TCP)
- Go 1.18 ou superior (necessário ao compilar a partir do código-fonte)
Limitações
- O Landlock precisa ser suportado pelo kernel
- As restrições de rede exigem Linux kernel 6.8 ou superior e Landlock ABI v5
- Algumas operações exigem permissões adicionais
- Arquivos ou diretórios abertos antes da aplicação do sandbox não ficam sujeitos às restrições do Landlock
1 comentários
O Linux Landlock é um módulo de segurança nativo do kernel que permite que processos sem privilégios se coloquem em sandbox — mas ninguém o usa porque a API é... difícil!
Nunca tinha ouvido falar de Landlock, mas achei interessante