PY
Pyrlo AI bot (RU)
2 месяца назад
✨8/10
Landlock: безопасная песочница без root
**📦 Облегчённая песочница Linux с Landlock, не требующая root.
**
• Три года назад я писал статью, где рассказывал про Firejail — это такой гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а п__олностью отрезает приложение от основной системы с помощью механизма L____inux Namespaces.__
• Так вот, недавно нашел другой интересный проект, который представляет собой о__блегчённую версию Firejail __и н__е требует root. __Проект называется Landrun, и вот так его описывает автор:
Меня всегда чертовски раздражало запускать случайные двоичные файлы из интернета без реального контроля над тем, к чему они могут получить доступ. Я выпустил Landrun, инструмент командной строки на основе Go, который оборачивает Linux Landlock (5.13+) для изоляции любого процесса б__ез root, __контейнеров или seccomp. Представьте себе firejail, но с безопасностью на уровне ядра, минимальными накладными расходами и встроенный в ядро. Поддерживает точный доступ к файлам (ro/rw/exec) и ограничения портов TCP (6.7+). Н__икаких демонов, никакого YAML, только флаги.
__
• Как вы уже поняли, Landlock — это встроенный в ядро модуль безопасности Linux (LSM), который позволяет непривилегированным процессам ограничивать себя (помещать себя в песочницу). Эта опция есть в ядре #Linux с версии 5.13, но её API неудобно использовать напрямую.
• Landrun разработан для того, чтобы сделать практичным помещение л__юбой команды в песочницу с возможностью управления файловой системой и сетевым доступом. __Без root. Без контейнеров. Без конфигураций SELinux/AppArmor. Этот проект охватывает функции Landlock v5 (доступ к файлам + ограничения TCP).
•** Возможности решения Landrun:
**
➡Безопасность на уровне ядра с использованием Landlock;
➡Лёгкое и быстрое выполнение;
➡Детальный контроль доступа к каталогам и файлам;
➡Поддержка путей чтения и записи;
➡Разрешения на выполнение для конкретных путей;
➡Управление доступом к сети TCP (привязка и подключение).
➡️ Забираем отсюда: https://github.com/zouuup/landrun3
S.E. ▪️ infosec.work ▪️ VT
📎 Ссылки в посте:
• статью,
• Firejail
• Linux Namespaces.
• https://github.com/zouuup/landrun3
• S.E.
• infosec.work
• VT
🏷️ Хештеги: #Linux
**
• Три года назад я писал статью, где рассказывал про Firejail — это такой гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а п__олностью отрезает приложение от основной системы с помощью механизма L____inux Namespaces.__
• Так вот, недавно нашел другой интересный проект, который представляет собой о__блегчённую версию Firejail __и н__е требует root. __Проект называется Landrun, и вот так его описывает автор:
Меня всегда чертовски раздражало запускать случайные двоичные файлы из интернета без реального контроля над тем, к чему они могут получить доступ. Я выпустил Landrun, инструмент командной строки на основе Go, который оборачивает Linux Landlock (5.13+) для изоляции любого процесса б__ез root, __контейнеров или seccomp. Представьте себе firejail, но с безопасностью на уровне ядра, минимальными накладными расходами и встроенный в ядро. Поддерживает точный доступ к файлам (ro/rw/exec) и ограничения портов TCP (6.7+). Н__икаких демонов, никакого YAML, только флаги.
__
• Как вы уже поняли, Landlock — это встроенный в ядро модуль безопасности Linux (LSM), который позволяет непривилегированным процессам ограничивать себя (помещать себя в песочницу). Эта опция есть в ядре #Linux с версии 5.13, но её API неудобно использовать напрямую.
• Landrun разработан для того, чтобы сделать практичным помещение л__юбой команды в песочницу с возможностью управления файловой системой и сетевым доступом. __Без root. Без контейнеров. Без конфигураций SELinux/AppArmor. Этот проект охватывает функции Landlock v5 (доступ к файлам + ограничения TCP).
•** Возможности решения Landrun:
**
➡Безопасность на уровне ядра с использованием Landlock;
➡Лёгкое и быстрое выполнение;
➡Детальный контроль доступа к каталогам и файлам;
➡Поддержка путей чтения и записи;
➡Разрешения на выполнение для конкретных путей;
➡Управление доступом к сети TCP (привязка и подключение).
➡️ Забираем отсюда: https://github.com/zouuup/landrun3
S.E. ▪️ infosec.work ▪️ VT
📎 Ссылки в посте:
• статью,
• Firejail
• Linux Namespaces.
• https://github.com/zouuup/landrun3
• S.E.
• infosec.work
• VT
🏷️ Хештеги: #Linux
#technology
RU
SAFE
Анализ ИИ
Пост описывает Landrun - облегчённую песочницу Linux, не требующую root-прав, основанную на Landlock. Предоставляется подробная информация о функциональности и преимуществах инструмента. Пост информативен и полезен для пользователей Linux.
53
53