Landrun sperrt Prozesse performant mit Landlock ein - LinuxCommunity

Im Kernel gibt es schon seit einiger Zeit das Landlock-Modul, über das sich normale Programme selbst gezielt einige (Zugriffs-)Rechte entziehen können. Diese Möglichkeiten nutzt das Tool Landlock, um andere Prozesse in ein Gefängnis zu sperren. Landrun übergibt man einen Kommandozeilenbefehl, den das Werkzeug stellvertretend startet. Dabei verwehrt es dem entstehenden Prozess den Zugriff auf ausgewählte Verzeichnisse und das Netzwerk. Auf diese Weise lassen sich unter anderem aus dem Internet heruntergeladene Programme etwas sicherer auf dem eigenen System ausprobieren. Da Landrun im Hintergrund Landlock nutzt, benötigt das Werkzeug weder Root-Rechte noch ein anderes komplexes Sicherheits-Framework wie SELinux oder AppArmor. Darüber hinaus laufen die Prozesse mit voller Kraft – anders als bei Containern gibt es keine Zwischenschicht oder eine umständliche Konfiguration. Allerdings gibt es noch eine wichtige Einschränkung: Derzeit greift Landrun auf die Fähigkeiten von Landlock v5 zurück. Damit kann das Tool lediglich den Zugriff auf Dateien und TCP-Verbindungen blocken. Der Entwickler treibt sein junges Projekt aber recht flott voran. Die aktuelle Version 0.1.14 führt etwa neue Parameter ein, über die sich die Integration von dynamischen Bibliotheken besser steuern lassen.

GitHub - Zouuup/landrun: Run any Linux process in a secure, unprivileged sandbox using Landlock. Think firejail, but lightweight, user-friendly, and baked into the kernel.

Run any Linux process in a secure, unprivileged sandbox using Landlock. Think firejail, but lightweight, user-friendly, and baked into the kernel. - Zouuup/landrun

User Data and Cookie Consent