极客观点
项目管理
HarmonyOS
这是第四期 Landlock 新闻通讯:
- 官方网站:https://landlock.io/
- 预览通讯:https://lore.kernel.org/landlock/d4ed5733-d07b-5548-2534-a63e22906778@digikod.net
文章与会议:
- 详细介绍 Landlock 的文章:https://landlock.io/talks/2024-06-06_landlock-article.pdf
- SSTIC 会议演讲:https://www.sstic.org/2024/presentation/landlock-design/
- Pass the Salt 会议 workshop:https://cfp.pass-the-salt.org/pts2024/talk/8FVYDF/,相关材料:https://github.com/landlock-lsm/workshop-imagemagick
- Arto Niemi 在 FRUCT 会议的“Survey of Real-World Process Sandboxing”:https://fruct.org/publications/volume-35/fruct35/files/Niem.pdf
- 大学研究人员在 ASIA CCS 会议的演讲:https://cs.unibg.it/seclab-papers/2023/ASIACCS/paper/cage4deno.pdf、https://cs.unibg.it/seclab-papers/2023/RAID/natisand.pdf
- Eric Leblond 在 SSTIC 会议的演讲:https://www.sstic.org/2023/presentation/attaque_supply_chain_suricata/
- Günther Noack 在 LSS Europe 的演讲:https://sched.co/1ebVW
- Mickaël Salaün 在 OSS Europe 的演讲:https://sched.co/1ej3a
- XZ 后门事件:XZ Utils 引入后门,攻击者禁用 Landlock 支持并发布新版本,后修复:https://research.swtch.com/xz-timeline、https://github.com/tukaani-project/xz/commit/f9cf4c05edd1
合并的内核特性:
- Linux 6.7(Landlock ABI 4)支持初始网络访问控制:https://docs.kernel.org/userspace-api/landlock.html#network-flags
- Linux 6.10(Landlock ABI 5)支持 IOCTL 控制:https://docs.kernel.org/userspace-api/landlock.html#filesystem-flags
- 新增告知系统管理员如何配置系统以支持 Landlock 的内核日志:https://docs.kernel.org/userspace-api/landlock.html#kernel-support
- 自 Linux 6.3 起改进文档和 kselftests,支持 KUnit:https://github.com/landlock-lsm/landlock-test-tools、https://github.com/landlock-lsm/rust-landlock/blob/main/.github/workflows/rust.yml#L166-L179
- 路线图与持续开发:创建 GitHub 问题跟踪工作:https://github.com/landlock-lsm/linux/issues、https://github.com/orgs/landlock-lsm/projects/1,计划改进网站
内核开发亮点:
- Günther Noack 成为 Landlock 官方评审:https://git.kernel.org/torvalds/c/5bf9e57e634b,致力于改进文档
- Mikhail Ivanov 致力于套接字类型控制:https://github.com/landlock-lsm/linux/issues/6、https://github.com/landlock-lsm/linux/issues/15
- Tahera Fahimi 被选为 Outreachy 实习生,从事 IPC 限制工作:https://github.com/landlock-lsm/linux/issues/7、https://github.com/landlock-lsm/linux/issues/8
- Mickaël Salaün 致力于为 Landlock 引入审计支持:https://github.com/landlock-lsm/linux/issues/3
Landlock 库:
- Go 库支持 TCP 和 IOCTL 限制:https://blog.gnoack.org/post/landlock-v4/、https://blog.gnoack.org/post/landlock-ioctl/
- Rust crate 发布新版本,支持 TCP 控制和其他改进:https://github.com/landlock-lsm/rust-landlock/releases/tag/v0.4.0
- 正在开发新的最小 C 库:https://github.com/landlock-lsm/linux/issues/38
- 新的 Landlock 用户空间支持:多个项目将使用 Landlock 进行沙箱化,如 Firejail、setpriv、extrasafe、bevy_mod_lockdown、Cloud Hypervisor、Ukuleleweb、websrv、egress-eddie、Suricata、sslh、wireproxy、Emilua、Polkadot、XZ Utils、Zathura、Pacman 等。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。