Landrun：Landlockによる軽量Linuxサンドボックス、root権限不要

RedditユーザーのZoup氏は、LinuxのLandlockセキュリティモジュールを信頼できないバイナリのサンドボックス化に直接使用することが難しいと感じました。LandlockはLinuxカーネル5.13から統合されており、特権を持たないプロセスが自身のアクセスを制限することを可能にします。Zoup氏は、Landlockの使用を簡素化するために、Go言語で記述されたコマンドラインツールであるLandrunを作成しました。Landrunは、root権限、コンテナ、またはseccompを必要とせずにサンドボックス化を可能にします。このツールはfirejailに似ていますが、Landlockを利用しており、ファイルアクセスやTCPポートに対してきめ細かい制御を提供します。ユーザーは、シンプルなフラグを使用して、読み取り専用、読み書き可能、または実行許可を指定できます。Landrunは、最小限の設計でカーネルネイティブであり、デーモンや複雑な設定ファイルを必要としません。このツールのMITライセンスは、簡単な監査を促進し、現在はsystemdサービスをサポートしています。Zoup氏は、潜在的に安全でないバイナリを実行するための、わかりやすいサンドボックス化ソリューションの欠如に対処するためにLandrunを開発しました。