De ce que je comprends que le site, c'est comme seccomp, mais uniquement pour le fs. L'idée c'est que les développeurs vont pouvoir sandboxer une partie ou une partie d'une application pour qu'elle est ou non accès en lectur/écriture/exécution à tout ou partie du système de fichier.
Il doit être un peu plus simple à utiliser que seccomp qui lui va intercepter les appels systèmes et donc pour faire la même chose il faut aller regarder comment est utilisé open(). À noter que pour raison que j'ignore landlock ne passe plus par eBPF pour faire ça (contrairement à seccomp).
[^] # Re: Landlock
Posté par barmic 🦦 . En réponse à la dépêche Sortie du noyau Linux 5.13. Évalué à 5.
De ce que je comprends que le site, c'est comme seccomp, mais uniquement pour le fs. L'idée c'est que les développeurs vont pouvoir sandboxer une partie ou une partie d'une application pour qu'elle est ou non accès en lectur/écriture/exécution à tout ou partie du système de fichier.
Il doit être un peu plus simple à utiliser que seccomp qui lui va intercepter les appels systèmes et donc pour faire la même chose il faut aller regarder comment est utilisé
open(). À noter que pour raison que j'ignore landlock ne passe plus par eBPF pour faire ça (contrairement à seccomp).https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll