- Sandbox ringan untuk menjalankan proses Linux dengan aman menggunakan Landlock LSM
- Mirip Firejail, tetapi menawarkan keamanan level kernel dan overhead minimal
- Keamanan level kernel: melalui Landlock LSM, proses itu sendiri menetapkan kebijakan keamanan dan mengendalikan lingkungan eksekusinya
- Meminimalkan overhead yang tidak perlu sehingga ringan dan cepat dijalankan tanpa penurunan performa
- Dapat mengatur izin file dan direktori secara rinci seperti baca/tulis/eksekusi
- Dapat membatasi binding dan koneksi port TCP
- Mendukung mode Best-Effort: menerapkan kebijakan keamanan yang tersedia secara fleksibel sesuai versi kernel untuk kompatibilitas
Persyaratan
- Perlu mengaktifkan Landlock LSM pada Linux kernel 5.13 atau lebih baru
- Pembatasan jaringan dapat digunakan pada Linux kernel 6.8 atau lebih baru (binding dan koneksi TCP)
- Go 1.18 atau lebih baru (diperlukan saat build dari source)
Keterbatasan
- Landlock harus didukung oleh kernel
- Pembatasan jaringan memerlukan Linux kernel 6.8 atau lebih baru serta Landlock ABI v5
- Beberapa operasi memerlukan hak akses tambahan
- File atau direktori yang sudah dibuka sebelum sandbox diterapkan tidak akan terkena pembatasan Landlock
1 komentar
Linux Landlock adalah modul keamanan bawaan kernel yang memungkinkan proses tanpa hak istimewa melakukan sandbox pada dirinya sendiri - tetapi tidak ada yang memakainya karena API-nya ... sulit!
Saya baru pertama kali mendengar tentang Landlock, tapi ini menarik.