- แซนด์บ็อกซ์ขนาดเล็กสำหรับรันโปรเซสลินุกซ์อย่างปลอดภัยด้วย Landlock LSM
- คล้ายกับ Firejail แต่ให้ความปลอดภัยระดับเคอร์เนลและมีโอเวอร์เฮดน้อยที่สุด
- ความปลอดภัยระดับเคอร์เนล: ผ่าน Landlock LSM ทำให้ตัวโปรเซสสามารถกำหนดนโยบายความปลอดภัยและควบคุมสภาพแวดล้อมการรันได้เอง
- ลดโอเวอร์เฮดที่ไม่จำเป็นให้เหลือน้อยที่สุด จึง เบาและรันได้รวดเร็ว โดยไม่ทำให้ประสิทธิภาพลดลง
- กำหนดสิทธิ์ไฟล์และไดเรกทอรีแบบละเอียดได้ ทั้งการอ่าน/เขียน/รัน
- จำกัดการ bind และการเชื่อมต่อของพอร์ต TCP ได้
- รองรับโหมด Best-Effort : ใช้นโยบายความปลอดภัยที่มีให้ตามเวอร์ชันเคอร์เนลได้อย่างยืดหยุ่นเพื่อความเข้ากันได้
ข้อกำหนด
- ต้องเปิดใช้ Landlock LSM บน Linux kernel 5.13 ขึ้นไป
- ใช้ข้อจำกัดเครือข่ายได้บน Linux kernel 6.8 ขึ้นไป (TCP bind และการเชื่อมต่อ)
- Go 1.18 ขึ้นไป (จำเป็นเมื่อ build จากซอร์ส)
ข้อจำกัด
- เคอร์เนลต้องรองรับ Landlock
- ข้อจำกัดเครือข่ายต้องใช้ Linux kernel 6.8 ขึ้นไป และ Landlock ABI v5
- งานบางอย่างต้องใช้สิทธิ์เพิ่มเติม
- ไฟล์หรือไดเรกทอรีที่เปิดไว้ก่อนใช้แซนด์บ็อกซ์จะไม่ถูกบังคับใช้ข้อจำกัดของ Landlock
1 ความคิดเห็น
Linux Landlock เป็นโมดูลความปลอดภัยแบบเนทีฟของเคอร์เนลที่ช่วยให้โปรเซสที่ไม่มีสิทธิพิเศษสามารถแซนด์บ็อกซ์ตัวเองได้ แต่ไม่มีใครใช้เพราะ API นั้น... ใช้งานยาก!
เพิ่งเคยได้ยินเรื่อง Landlock เป็นครั้งแรก แต่น่าสนใจดี