LandlockはLinux 5.13で追加され、5.19で更新(ABI V2)されたプロセス単位のアクセス制御機構です。 この機能は主に自分自身の権限を制限してサンドボックスを作るために使います。例えばこの記事の後半では信頼できない実行バイナリをサブプロセスとして起動する際にアクセス出来るファイルシステムの範囲を制限する例を見ます。 rust-landlock/examples 今回はLandlockをRustから使えるようにしたrust-landlockを試していきます。ドキュメントはlandlock.io/rust-landlockに公開されています。 特にCによるサンプルをRustで書き直したサンプルを見ていきましょう。とりあえず実行してみるとヘルプを出してくれます: usage: LL_FS_RO="..." LL_FS_RW="..." target/debug/example
![Landlock: ユーザ権限によるアクセス制御](https://cdn-ak-scissors.b.st-hatena.com/image/square/9a9a9a90125ebe24f98a2fbfa8a1f4d891f98086/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--E5PejHQo--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3ALandlock%25253A%252520%2525E3%252583%2525A6%2525E3%252583%2525BC%2525E3%252582%2525B6%2525E6%2525A8%2525A9%2525E9%252599%252590%2525E3%252581%2525AB%2525E3%252582%252588%2525E3%252582%25258B%2525E3%252582%2525A2%2525E3%252582%2525AF%2525E3%252582%2525BB%2525E3%252582%2525B9%2525E5%252588%2525B6%2525E5%2525BE%2525A1%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Atermoshtt%252Cx_203%252Cy_98%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2lfdUM4LVBtaVF5cjN4UjBLdWMzN2t3ZDF2cGlsaUZWV25MbzhDS1E9czI1MC1j%252Cr_max%252Cw_90%252Cx_87%252Cy_72%2Fog-base.png)