# Landrun - root나 컨테이너 없이 Landlock으로 모든 리눅스 프로세스 샌드박싱

> Clean Markdown view of GeekNews topic #19907. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=19907](https://news.hada.io/topic?id=19907)
- GeekNews Markdown: [https://news.hada.io/topic/19907.md](https://news.hada.io/topic/19907.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-03-23T12:32:48+09:00
- Updated: 2025-03-23T12:32:48+09:00
- Original source: [github.com/Zouuup](https://github.com/Zouuup/landrun)
- Points: 10
- Comments: 1

## Summary

Landlock LSM을 사용하여 리눅스 프로세스를 안전하게 실행하는 경량 샌드박스를 제공하며, 커널 레벨 보안을 통해 프로세스가 자체적으로 보안 정책을 설정하고 실행 환경을 제어할 수 있습니다. 이 시스템은 불필요한 오버헤드를 최소화하여 성능 저하 없이 빠르게 실행되며, 세밀한 파일 및 디렉토리 권한 설정과 TCP 포트 바인딩 및 연결 제한이 가능합니다. Linux 커널 5.13 이상에서 Landlock LSM이 활성화되어야 하며, 네트워크 제한은 Linux 커널 6.8 이상에서 지원됩니다.

## Topic Body

- **Landlock LSM**을 사용해 리눅스 프로세스를 안전하게 실행하는 경량 샌드박스  
- **Firejail**과 비슷하지만 커널 레벨 보안 및 최소한의 오버헤드를 제공  
- **커널 레벨 보안**: Landlock LSM을 통해 프로세스 자체가 보안 정책을 설정하고 실행 환경을 제어함   
- 불필요한 오버헤드를 최소화해 성능 저하 없이 **경량으로 빠른 실행**  
- 읽기/쓰기/실행 등 세밀한 파일 및 디렉토리 권한 설정 가능  
- TCP 포트 바인딩 및 연결 제한 가능  
- **Best-Effort 모드 지원** : 커널 버전에 따라 사용 가능한 보안 정책을 유연하게 적용해 호환성 제공  
  
### 요구사항  
- **Linux 커널 5.13 이상**에서 Landlock LSM 활성화 필요  
- **Linux 커널 6.8 이상**에서 네트워크 제한 사용 가능 (TCP 바인딩 및 연결)  
- **Go 1.18 이상** (소스에서 빌드 시 필요)  
  
### 제한 사항  
- Landlock는 커널에서 지원되어야 함  
- 네트워크 제한은 Linux 커널 6.8 이상 및 Landlock ABI v5 필요  
- 일부 작업은 추가 권한 필요  
- 샌드박스 적용 전 열린 파일이나 디렉토리는 Landlock 제한 적용되지 않음

## Comments



### Comment 36295

- Author: kuber
- Created: 2025-03-24T20:20:41+09:00
- Points: 1

Linux Landlock is a kernel-native security module that lets unprivileged processes sandbox themselves - but nobody uses it because the API is ... hard!  
  
Landlock 은 처음들어봤는데 흥미롭네요