ΠΡΠΎΠ΅ΠΊΡ Landrun Π½Π°ΡΠ°Π» ΡΠ°Π·Π²ΠΈΡΠΈΠ΅ Π½ΠΎΠ²ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΡ Π΄Π»Ρ ΠΈΠ·ΠΎΠ»ΠΈΡΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ ΠΎΡΠ΄Π΅Π»ΡΠ½ΡΡ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. ΠΠ»Ρ ΠΈΠ·ΠΎΠ»ΡΡΠΈΠΈ Π·Π°Π΄Π΅ΠΉΡΡΠ²ΠΎΠ²Π°Π½ LSM-ΠΌΠΎΠ΄ΡΠ»Ρ ΡΠ΄ΡΠ° Linux Landlock, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡΡΠΈΠΉ ΠΎΠ±ΠΎΠΉΡΠΈΡΡ Π±Π΅Π· Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΡ ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½Π½ΡΡ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΉ Π²ΠΎ Π²ΡΠ΅ΠΌΡ ΡΠΎΠ·Π΄Π°Π½ΠΈΡ sandbox-ΠΎΠΊΡΡΠΆΠ΅Π½ΠΈΡ. ΠΠΎ ΡΠ²ΠΎΠΈΠΌ Π·Π°Π΄Π°ΡΠ°ΠΌ Landrun Π±Π»ΠΈΠ·ΠΎΠΊ ΠΊ ΡΡΠΈΠ»ΠΈΡΠ΅ Firejail, Π½ΠΎ ΠΎΡΠ»ΠΈΡΠ°Π΅ΡΡΡ Π±ΠΎΠ»Π΅Π΅ ΠΏΡΠΎΡΡΠΎΠΉ ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠ΅ΠΉ, Π»Π΅Π³ΠΊΠΎΠ²Π΅ΡΠ½ΠΎΡΡΡΡ ΠΈ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΡΡ ΡΠ°Π±ΠΎΡΡ ΠΏΠΎΠ΄ ΠΎΠ±ΡΡΠ½ΡΠΌ Π½Π΅ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½Π½ΡΠΌ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΌ Π±Π΅Π· ΠΏΠΎΡΡΠ°Π²ΠΊΠΈ Ρ ΡΠ»Π°Π³ΠΎΠΌ suid. ΠΠΎΠ΄ ΠΏΡΠΎΠ΅ΠΊΡΠ° Π½Π°ΠΏΠΈΡΠ°Π½ Π½Π° ΡΠ·ΡΠΊΠ΅ Go ΠΈ ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½ΡΠ΅ΡΡΡ ΠΏΠΎΠ΄ Π»ΠΈΡΠ΅Π½Π·ΠΈΠ΅ΠΉ GPLv2.
ΠΠ΅Ρ Π°Π½ΠΈΠ·ΠΌ Landlock ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ Π½Π΅ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½Π½ΡΠΌ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠ°ΠΌ ΠΎΠ³ΡΠ°Π½ΠΈΡΠΈΡΡ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎΠ±ΡΠ΅ΠΊΡΠΎΠ² ΡΠ΄ΡΠ° Linux, toy ny ambaratongan'ny rakitra, ny sockets tambajotra, ary ny ioctl. Tsy toy ny namespaces sy ny sivana antso rafitra, ny kernel no mamorona ny tontolo iainana mitokana. Linux Π² ΡΠΎΡΠΌΠ΅ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡΠ΅Π»ΡΠ½ΠΎΠ³ΠΎ ΡΠ»ΠΎΡ Π½Π°Π΄ ΡΡΡΠ΅ΡΡΠ²ΡΡΡΠΈΠΌΠΈ ΡΠΈΡΡΠ΅ΠΌΠ½ΡΠΌΠΈ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΠ°ΠΌΠΈ ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΡ Π΄ΠΎΡΡΡΠΏΠΎΠΌ. ΠΠ»Ρ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΡ Ρ ΠΏΠΎΠ΄ΡΠΈΡΡΠ΅ΠΌΠΎΠΉ Landlock Π² ΡΡΠΈΠ»ΠΈΡΠ΅ landrun ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΡΡΡ Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠ° go-landlock ΠΎΡ ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΠΊΠΎΠ² LandLock.
Landrun dia manampy amin'ny fampihenana ny loza mety hitranga amin'ny fandeferana ny rafitra lehibe rehefa mampandeha programa tsy azo itokisana na mety ho marefo. Ny fahaiza-manao dia misy ny fanohanana ny famerana ny fidirana mifantina amin'ny haavon'ny lahatahiry tsirairay, ny famehezana ny fahazoan-dΓ lana handefasana lalana (fanomezana na fandrarana ny famakiana, fanoratana ary famonoana) ary ny fanaraha-maso ny fanombohana sy ny fanekena ny fifandraisana TCP.
Ohatra, amin'ny fampiasana Landrun, azonao atao ny manakana ny dingana iray amin'ny fampandehanana ny rakitra azo tanterahana, mamela ny fanoratana afa-tsy amin'ny subdirectory misaraka miaraka amin'ny angona, manakana ny famoronana socket fihainoana amin'ny fanekena ny fifandraisana amin'ny tambajotra, ary mamela ny fandefasana fangatahana tambajotra amin'ny seranana TCP voafaritra ihany. Amin'ny tranga tsotra indrindra, raha mandrara ny firaketana, ny fandefasana ary ny fahafahan'ny tambajotra, ny programa dia azo tanterahina miaraka amin'ny baiko "landrun --ro /", ary ny mitoka-monina nginx dia azonao ampiasaina: landrun --rox /usr/bin --ro /lib,/lib64,/var/www --rwx /var/log --bind-tcp80,443
Π ΠΏΠ»Π°Π½Π°Ρ Π½Π° Π±ΡΠ΄ΡΡΠ΅Π΅ ΡΠΏΠΎΠΌΠΈΠ½Π°Π΅ΡΡΡ ΡΠ°ΡΡΠΈΡΠ΅Π½Π½ΠΎΠ΅ ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ Π΄ΠΎΡΡΡΠΏΠΎΠΌ ΠΊ ΡΠ°ΠΉΠ»ΠΎΠ²ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΠ΅, ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° UDP ΠΈ ΡΠΏΡΠ°Π²Π»Π΅Π½ΠΈΠ΅ ΡΠ΅ΡΡΡΡΠ°ΠΌΠΈ ΠΏΡΠΎΡΠ΅ΡΡΠΎΠ². ΠΠ»Ρ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΡ Π΄ΠΎΡΡΡΠΏΠ° Π½Π° ΡΡΠΎΠ²Π½Π΅ ΡΠ°ΠΉΠ»ΠΎΠ²ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΡ ΡΡΠ΅Π±ΡΠ΅ΡΡΡ ΠΊΠ°ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡΠΌ ΡΠ΄ΡΠΎ Linux 5.13, Π° Π΄Π»Ρ ΡΠ΅ΡΠ΅Π²ΡΡ ΠΎΠ³ΡΠ°Π½ΠΈΡΠ΅Π½ΠΈΠΉ β 6.8.
Fanampin'izay, tsara ny manamarika fa efa nohavaozina ny codebase Firejail mba ahafahana mampiasa ny subsystem kernel Landlock ho an'ny fitokanana tsy misy famonoan-tena sy ny fiakaran'ny tombontsoa, ββsaingy mbola tsy navoaka ny famoahana miaraka amin'ity fanohanana ity.
Source: opennet.ru
