"Landrun": Легковесный песочница для Linux с Landlock, без прав суперпользователя

На сабреддите Reddit «selfhosted», посвященном альтернативам популярным сервисам, давний читатель Slashdot по имени Зуп (Zoup) описал проблему:

• Landlock — это Модуль Безопасности Linux (LSM), который позволяет непривилегированным процессам ограничивать себя.
• Он присутствует в ядре с версии 5.13, но API неудобно использовать напрямую.
• Меня всегда раздражало то, что приходится запускать случайные бинарники из интернета без реального контроля над тем, к чему они могут получить доступ.

Поэтому они создали собственное решение, согласно сообщению на Slashdot в четверг:

Я только что выпустил Landrun, утилиту командной строки на Go, которая использует Linux Landlock (версии 5.13 и выше) для изоляции любого процесса без root-прав, контейнеров или seccomp. Подумайте о firejail, но минимальном и основанном на ядре. Поддерживает тонкую настройку доступа к файлам (только для чтения/чтения и записи/выполнения) и ограничение портов TCP (версия 6.7 и выше). Без демонов, без YAML, только флаги.

Пример (где --rox разрешает доступ только для чтения с выполнением в указанном пути):

# landrun --rox /usr touch /tmp/file
touch: cannot touch '/tmp/file': Permission denied

# landrun --rox /usr --rw /tmp touch /tmp/file

Он распространяется под лицензией MIT, прост в аудировании и теперь поддерживает службы systemd.