- Un sandbox léger pour exécuter les processus Linux en toute sécurité avec Landlock LSM
- Semblable à Firejail, mais avec une sécurité au niveau du noyau et un surcoût minimal
- Sécurité au niveau du noyau : via Landlock LSM, le processus lui-même définit les politiques de sécurité et contrôle son environnement d’exécution
- Exécution légère et rapide sans perte de performances, en minimisant les surcoûts inutiles
- Configuration possible de permissions fines sur les fichiers et répertoires, notamment lecture/écriture/exécution
- Possibilité de restreindre le binding et les connexions des ports TCP
- Prise en charge du mode Best-Effort : applique de manière flexible les politiques de sécurité disponibles selon la version du noyau pour assurer la compatibilité
Exigences
- Noyau Linux 5.13 ou supérieur avec Landlock LSM activé
- Noyau Linux 6.8 ou supérieur pour utiliser les restrictions réseau (binding et connexions TCP)
- Go 1.18 ou supérieur (requis pour compiler depuis les sources)
Limitations
- Landlock doit être pris en charge par le noyau
- Les restrictions réseau nécessitent un noyau Linux 6.8 ou supérieur et Landlock ABI v5
- Certaines opérations nécessitent des privilèges supplémentaires
- Les fichiers ou répertoires déjà ouverts avant l’application du sandbox ne sont pas soumis aux restrictions Landlock
1 commentaires
Le module de sécurité Linux Landlock est intégré nativement au noyau et permet aux processus non privilégiés de s’isoler eux-mêmes dans un sandbox, mais personne ne l’utilise parce que l’API est… compliquée !
Je n’avais encore jamais entendu parler de Landlock, mais c’est intéressant.