Landrun沙箱环境下运行darkhttpd的权限问题分析与解决方案

背景介绍

Landrun是一个基于Landlock的轻量级沙箱工具，用于在Linux系统上安全地运行不受信任的应用程序。darkhttpd则是一个极简的静态网页服务器。本文将探讨在Landrun沙箱环境中运行darkhttpd时遇到的权限问题及其解决方案。

问题现象

用户在Slackware 15.0+系统上尝试使用Landrun沙箱运行darkhttpd时，遇到了"permission denied"错误。系统环境配置正确，Landlock已通过内核参数启用，且相同的darkhttpd命令在非沙箱环境下运行正常。

技术分析

1. Landrun工作原理：Landrun通过Landlock内核特性实施文件系统访问控制，需要明确指定应用程序所需的访问权限。

2. darkhttpd的依赖关系：作为动态链接的可执行文件，darkhttpd不仅需要访问其二进制文件(/usr/bin/darkhttpd)，还需要访问共享库文件(通常位于/lib64或/usr/lib)。

3. 初始配置缺陷：用户最初仅配置了/usr/bin目录为只读执行(--rox)，但未包含共享库目录，导致动态链接器无法加载必要的共享库。

解决方案

正确的Landrun命令应包含以下关键配置：

1. 将/usr/bin和/lib64目录设置为只读执行(--rox)
2. 将网页内容目录(/home/r1w1s1/slackware-mirrors)设置为只读(--ro)
3. 绑定TCP 80端口(--bind-tcp 80)

完整命令示例：

sudo landrun --rox /usr/bin,/lib64 --ro /home/r1w1s1/slackware-mirrors --bind-tcp 80 \
    /usr/bin/darkhttpd /home/r1w1s1/slackware-mirrors --port 80

调试技巧

当遇到类似权限问题时，可采用以下方法诊断：

1. 使用strace工具跟踪系统调用，识别被拒绝的访问请求
2. 逐步增加访问权限，观察程序行为变化
3. 检查应用程序的依赖关系(如使用ldd命令)

最佳实践建议

1. 对于网络服务类应用，除文件系统权限外，还需注意网络访问控制
2. 动态链接的程序通常需要访问多个系统目录，建议使用strace确认完整路径
3. 在Slackware等发行版上，特别注意/lib64目录的访问权限

总结

Landrun提供了强大的应用程序沙箱能力，但需要正确配置访问权限。通过理解应用程序的依赖关系和Landrun的权限模型，可以有效地解决"permission denied"类问题。本文提供的解决方案不仅适用于darkhttpd，也可作为其他网络服务在Landrun沙箱中运行的参考。