landrun
不活跃简介
landrun 基于 Linux 内核 Landlock 的轻量级进程沙箱,给任意程序加权限隔离不需 root。
核心特性
- Landlock 内核级隔离 — 直接使用 Linux 5.13+ Landlock LSM 实现文件系统访问控制
- 非 root 部署 — 普通用户即可启动沙箱,无需 sudo 或特权容器
- 细粒度权限策略 — 通过命令行声明可读、可写、可执行的目录集合
- 网络能力控制 — 支持可选禁用网络或限制特定端口
- 类 firejail 体验 — 简单 landrun ./program 即可完成沙箱封装
- 静态二进制 — 单文件分发,跨发行版零依赖运行
适用场景
💡 让 AI Agent 调用任意第三方 CLI 工具时强制隔离文件系统访问
💡 跑未信任的 npm/pip 安装脚本时阻止其修改主目录
💡 把开发环境的网络访问限制为仅可访问内部 registry
💡 在多租户服务器上用 landrun 启动用户提交的代码
💡 用 Landlock 给传统 firejail 用户一个更轻量的替代方案
快速开始
# 安装(需要 Linux 5.13+ 内核)
curl -fsSL https://raw.githubusercontent.com/Zouuup/landrun/main/install.sh | bash
# 把任意命令放进沙箱
# 只允许读 /etc,写 /tmp,禁止网络
landrun --ro /etc --rw /tmp --net-none -- ./untrusted-binary
# 让浏览器只能写入它的 profile 目录
landrun --ro / --rw $HOME/.config/firefox --rw /tmp -- ./firefox
# 检查内核是否启用 Landlock
cat /sys/kernel/security/landlock
# 若返回 landlock: UP 则支持