Landrun добавил Linux-процессам изоляцию без прав суперпользователя

В экосистеме Linux появился новый инструмент — Landrun, позволяющий запускать процессы в ограниченном окружении без использования root-доступа. Проект разработан с опорой на механизм Landlock, встроенный в ядро начиная с версии 5.13. Исходный код доступен на GitHub, написан на Go и Shell, лицензия — MIT.

В отличие от других решений, Landrun не использует контейнеризацию, мандатные политики или фоновые службы. Управление доступом к файлам и сетевым портам осуществляется через флаги командной строки. Это позволяет задать, какие каталоги будут доступны для чтения, записи или выполнения, и ограничить TCP-соединения (в ядрах 6.7+).

Функция изоляции работает на уровне ядра и не требует изменения системной конфигурации. Возможности включают фильтрацию доступа к путям и управление сетевой активностью запускаемого процесса без запуска дополнительных сервисов или настройки профилей безопасности.

Инструмент позиционируется как решение для запуска сторонних бинарных файлов с избирательным доступом к системным ресурсам. В список требований входят поддержка Landlock в ядре Linux и установленная среда Go для сборки. Подробности и инструкции размещены в репозитории проекта.

Источник: https://habr.com