Landrun
Run any Linux process in a secure, unprivileged sandbox using Landlock LSM. Think firejail, but lightweight, user-friendly, and baked into the kernel.
root나 컨테이너 없이 Landlock으로 모든 리눅스 프로세스 샌드박싱
Features
- Landlock LSM을 사용해 리눅스 프로세스를 안전하게 실행하는 경량 샌드박스
- Firejail과 비슷하지만 커널 레벨 보안 및 최소한의 오버헤드를 제공
- 커널 레벨 보안: Landlock LSM을 통해 프로세스 자체가 보안 정책을 설정하고 실행 환경을 제어함
- 불필요한 오버헤드를 최소화해 성능 저하 없이 경량으로 빠른 실행
- 읽기/쓰기/실행 등 세밀한 파일 및 디렉토리 권한 설정 가능
- TCP 포트 바인딩 및 연결 제한 가능
- Best-Effort 모드 지원 : 커널 버전에 따라 사용 가능한 보안 정책을 유연하게 적용해 호환성 제공
요구사항
- Linux 커널 5.13 이상에서 Landlock LSM 활성화 필요
- Linux 커널 6.8 이상에서 네트워크 제한 사용 가능 (TCP 바인딩 및 연결)
- Go 1.18 이상 (소스에서 빌드 시 필요)
제한 사항
- Landlock는 커널에서 지원되어야 함
- 네트워크 제한은 Linux 커널 6.8 이상 및 Landlock ABI v5 필요
- 일부 작업은 추가 권한 필요
- 샌드박스 적용 전 열린 파일이나 디렉토리는 Landlock 제한 적용되지 않음