Landrun: Landlock을 사용한 경량 Linux 샌드박싱, 루트 권한 필요 없음

레딧 사용자 Zoup은 신뢰할 수 없는 바이너리 샌드박싱을 위해 리눅스의 Landlock 보안 모듈을 직접 사용하는 것이 어렵다는 것을 발견했습니다. 버전 5.13부터 리눅스 커널에 통합된 Landlock은 권한이 없는 프로세스가 자신의 접근을 제한할 수 있도록 해줍니다. Zoup은 Landlock의 사용을 단순화하기 위해 Go 기반의 명령줄 도구인 Landrun을 만들었습니다. Landrun은 root 권한, 컨테이너 또는 seccomp 없이 샌드박싱을 가능하게 합니다. 이 도구는 firejail과 유사하지만 Landlock을 활용하여 파일 접근 및 TCP 포트에 대한 세밀한 제어를 제공합니다. 사용자는 간단한 플래그를 사용하여 읽기 전용, 읽기-쓰기 또는 실행 권한을 지정할 수 있습니다. Landrun은 최소한의 기능만을 갖도록 설계되었으며 커널 네이티브로, 데몬이나 복잡한 구성 파일이 필요하지 않습니다. 이 도구의 MIT 라이선스는 쉬운 감사와 systemd 서비스 지원을 장려합니다. Zoup은 잠재적으로 안전하지 않은 바이너리를 실행하기 위한 간단한 샌드박싱 솔루션의 부재를 해결하기 위해 Landrun을 개발했습니다.