«Земельный забег»: Легковесное sandboxing Linux с помощью Landlock, без необходимости в правах root

Пользователь Reddit под ником Zoup обнаружил, что модуль безопасности Landlock в Linux сложно использовать напрямую для создания песочницы для ненадежных исполняемых файлов. Landlock, интегрированный в ядро Linux начиная с версии 5.13, позволяет непривилегированным процессам ограничивать свой собственный доступ. Zoup создал Landrun, инструмент командной строки на основе Go, чтобы упростить использование Landlock. Landrun позволяет создавать песочницы без необходимости в привилегиях root, контейнерах или seccomp. Этот инструмент похож на firejail, но использует Landlock, предлагая точный контроль над доступом к файлам и TCP-портам. Пользователи могут указывать разрешения только для чтения, чтения-записи или выполнения, используя простые флаги. Landrun разработан как минималистичный и родной для ядра, исключая необходимость в демонах или сложных файлах конфигурации. Инструмент распространяется под лицензией MIT, что способствует легкому аудиту, и теперь поддерживает сервисы systemd. Zoup разработал Landrun, чтобы решить проблему отсутствия простых решений для песочницы для запуска потенциально небезопасных исполняемых файлов.