- Landlock LSM का उपयोग करके Linux processes को सुरक्षित रूप से चलाने वाला एक lightweight sandbox
- Firejail जैसा, लेकिन kernel-level security और न्यूनतम overhead प्रदान करता है
- kernel-level security: Landlock LSM के जरिए process खुद security policies सेट करता है और execution environment को नियंत्रित करता है
- अनावश्यक overhead को न्यूनतम रखकर performance में गिरावट के बिना lightweight और तेज़ execution
- read/write/execute आदि के लिए files और directories पर fine-grained permissions सेट की जा सकती हैं
- TCP port binding और connection restrictions लागू किए जा सकते हैं
- Best-Effort mode support: kernel version के अनुसार उपलब्ध security policies को लचीले ढंग से लागू करके compatibility प्रदान करता है
आवश्यकताएँ
- Linux kernel 5.13 या उससे ऊपर पर Landlock LSM सक्षम होना चाहिए
- Linux kernel 6.8 या उससे ऊपर पर network restrictions का उपयोग किया जा सकता है (TCP binding और connections)
- Go 1.18 या उससे ऊपर (source से build करने पर आवश्यक)
सीमाएँ
- Landlock का kernel में समर्थित होना आवश्यक है
- network restrictions के लिए Linux kernel 6.8 या उससे ऊपर और Landlock ABI v5 आवश्यक है
- कुछ operations के लिए अतिरिक्त permissions की आवश्यकता होती है
- sandbox लागू करने से पहले खोली गई files या directories पर Landlock restrictions लागू नहीं होतीं
1 टिप्पणियां
Linux Landlock एक kernel-native security module है जो unprivileged processes को खुद को sandbox करने देता है - लेकिन इसका इस्तेमाल लगभग कोई नहीं करता क्योंकि API ... मुश्किल है!
Landlock के बारे में पहली बार सुना, दिलचस्प लग रहा है