在 Reddit 的“自托管”subreddit 上寻找流行服务的替代品时,Slashdot 的长期读者 Zoup 描述了一个痛点: – Landlock 是一个 Linux 安全模块 (LSM),它可以让非特权进程限制自身。 – 从5.13开始就已经存在于内核中,但是API直接使用起来很尴尬。 – 从互联网上运行随机二进制文件而不对其可以访问的内容进行任何真正的控制总是让我很恼火。因此,根据周四向 Slashdot 提交的内容,他们推出了自己的解决方案:我刚刚发布了 Landrun,这是一个基于 Go 的 CLI 工具,它将 Linux Landlock(5.13+)包装到沙箱中,无需 root、容器或 seccomp 即可对任何进程进行沙箱处理。想想 firejail,但它是最小的并且是内核原生的。支持细粒度文件访问 (ro/rw/exec) 和 TCP 端口限制 (6.7+)。没有守护进程,没有 YAML,只有标志。示例(其中 –rox 允许对指定路径执行只读访问): # landrun –rox /usr touch /tmp/filetouch:cannot touch ‘/tmp/file’: Permission returned# landrun –rox /usr –rw /tmp touch /tmp/file# 它已获得 MIT 许可,易于审核,现在支持 systemd 服务。
在 Slashdot 上阅读这个故事的更多内容。