-
Landlock LSM을 사용해 리눅스 프로세스를 안전하게 실행하는 경량 샌드박스
-
Firejail과 비슷하지만 커널 레벨 보안 및 최소한의 오버헤드를 제공
-
커널 레벨 보안: Landlock LSM을 통해 프로세스 자체가 보안 정책을 설정하고 실행 환경을 제어함
- 불필요한 오버헤드를 최소화해 성능 저하 없이 경량으로 빠른 실행
- 읽기/쓰기/실행 등 세밀한 파일 및 디렉토리 권한 설정 가능
- TCP 포트 바인딩 및 연결 제한 가능
-
Best-Effort 모드 지원 : 커널 버전에 따라 사용 가능한 보안 정책을 유연하게 적용해 호환성 제공
요구사항
-
Linux 커널 5.13 이상에서 Landlock LSM 활성화 필요
-
Linux 커널 6.8 이상에서 네트워크 제한 사용 가능 (TCP 바인딩 및 연결)
-
Go 1.18 이상 (소스에서 빌드 시 필요)
제한 사항
- Landlock는 커널에서 지원되어야 함
- 네트워크 제한은 Linux 커널 6.8 이상 및 Landlock ABI v5 필요
- 일부 작업은 추가 권한 필요
- 샌드박스 적용 전 열린 파일이나 디렉토리는 Landlock 제한 적용되지 않음