Landrun - root나 컨테이너 없이 Landlock으로 모든 리눅스 프로세스 샌드박싱

• Landlock LSM을 사용해 리눅스 프로세스를 안전하게 실행하는 경량 샌드박스
• Firejail과 비슷하지만 커널 레벨 보안 및 최소한의 오버헤드를 제공
• 커널 레벨 보안: Landlock LSM을 통해 프로세스 자체가 보안 정책을 설정하고 실행 환경을 제어함
• 불필요한 오버헤드를 최소화해 성능 저하 없이 경량으로 빠른 실행
• 읽기/쓰기/실행 등 세밀한 파일 및 디렉토리 권한 설정 가능
• TCP 포트 바인딩 및 연결 제한 가능
• Best-Effort 모드 지원 : 커널 버전에 따라 사용 가능한 보안 정책을 유연하게 적용해 호환성 제공

요구사항

• Linux 커널 5.13 이상에서 Landlock LSM 활성화 필요
• Linux 커널 6.8 이상에서 네트워크 제한 사용 가능 (TCP 바인딩 및 연결)
• Go 1.18 이상 (소스에서 빌드 시 필요)

제한 사항

• Landlock는 커널에서 지원되어야 함
• 네트워크 제한은 Linux 커널 6.8 이상 및 Landlock ABI v5 필요
• 일부 작업은 추가 권한 필요
• 샌드박스 적용 전 열린 파일이나 디렉토리는 Landlock 제한 적용되지 않음