Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку.
Открыть разборИсточник: Хабрахабр
Источник: kmoseenk (OTUS)
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке