Merge pull request #90 from itmisx/feat/sandbox-landlock

✨ sandbox-landlock

Author: itmisx

go.mod

@@ -9,6 +9,7 @@ require (
 	charm.land/lipgloss/v2 v2.0.3
 	github.com/charmbracelet/x/ansi v0.11.7
 	github.com/getcharzp/onnxruntime_purego v1.24.0
+	github.com/landlock-lsm/go-landlock v0.8.1
 	github.com/odvcencio/gotreesitter v0.19.1
 	github.com/tiktoken-go/tokenizer v0.7.0
 	golang.org/x/tools v0.45.0
@@ -45,4 +46,5 @@ require (
 	golang.org/x/sync v0.20.0 // indirect
 	golang.org/x/sys v0.44.0 // indirect
 	golang.org/x/text v0.37.0 // indirect
+	kernel.org/pub/linux/libs/security/libcap/psx v1.2.77 // indirect
 )

go.sum

@@ -57,6 +57,8 @@ github.com/kr/pretty v0.1.0 h1:L/CwN0zerZDmRFUapSPitk6f+Q3+0za1rQkzVuMiMFI=
 github.com/kr/pretty v0.1.0/go.mod h1:dAy3ld7l9f0ibDNOQOHHMYYIIbhfbHSm3C4ZsoJORNo=
 github.com/kr/text v0.2.0 h1:5Nx0Ya0ZqY2ygV366QzturHI13Jq95ApcVaJBhpS+AY=
 github.com/kr/text v0.2.0/go.mod h1:eLer722TekiGuMkidMxC/pM04lWEeraHUUmBw8l2grE=
+github.com/landlock-lsm/go-landlock v0.8.1 h1:Krs1co16IzN7bQcFYIdtNF+BKwZem3geRBkVsZtlCKU=
+github.com/landlock-lsm/go-landlock v0.8.1/go.mod h1:mn5GSi81Jf7yMs5WSi+SUi4sUeNLUGVdbT4Id6wXNQw=
 github.com/lucasb-eyer/go-colorful v1.4.0 h1:UtrWVfLdarDgc44HcS7pYloGHJUjHV/4FwW4TvVgFr4=
 github.com/lucasb-eyer/go-colorful v1.4.0/go.mod h1:R4dSotOR9KMtayYi1e77YzuveK+i7ruzyGqttikkLy0=
 github.com/mattn/go-runewidth v0.0.23 h1:7ykA0T0jkPpzSvMS5i9uoNn2Xy3R383f9HDx3RybWcw=
@@ -99,3 +101,5 @@ gopkg.in/check.v1 v1.0.0-20180628173108-788fd7840127 h1:qIbj1fsPNlZgppZ+VLlY7N33
 gopkg.in/check.v1 v1.0.0-20180628173108-788fd7840127/go.mod h1:Co6ibVJAznAaIkqp8huTwlJQCZ016jof/cbN4VW5Yz0=
 gopkg.in/yaml.v3 v3.0.1 h1:fxVm/GzAzEWqLHuvctI91KS9hhNmmWOoWu0XTYJS7CA=
 gopkg.in/yaml.v3 v3.0.1/go.mod h1:K4uyk7z7BCEPqu6E+C64Yfv1cQ7kz7rIZviUmN+EgEM=
+kernel.org/pub/linux/libs/security/libcap/psx v1.2.77 h1:Z06sMOzc0GNCwp6efaVrIrz4ywGJ1v+DP0pjVkOfDuA=
+kernel.org/pub/linux/libs/security/libcap/psx v1.2.77/go.mod h1:+l6Ee2F59XiJ2I6WR5ObpC1utCQJZ/VLsEbQCD8RG24=

main.go

@@ -3,6 +3,7 @@ package main
 import (
 	"deepx/agent"
 	"deepx/config"
+	"deepx/tools"
 	"deepx/tui"
 	"fmt"
 	"io"
@@ -19,6 +20,10 @@ var (
 )
 
 func main() {
+	// 必须最先调用:若本进程是 Landlock 沙箱跳板(Linux 无 bwrap 时走此路),施加写禁闭后 exec
+	// 真正的命令、永不返回;否则立即返回,继续正常启动。其它平台为空实现。
+	tools.RunSandboxTrampolineIfRequested()
+
 	if len(os.Args) > 1 && (os.Args[1] == "--version" || os.Args[1] == "-v" || os.Args[1] == "version") {
 		fmt.Printf("deepx %s (commit %s, built %s)\n", version, commit, date)
 		return

tools/sandbox_native.go

@@ -9,7 +9,7 @@ import (
 //
 // 思路:native 不再只靠黑名单字符串过滤,而是用各平台的 OS 机制做**文件写禁闭 + 进程隔离**:
 //   - macOS: sandbox-exec(Seatbelt)——见 sandbox_native_darwin.go
-//   - Linux: bubblewrap(bwrap)——见 sandbox_native_linux.go
+//   - Linux: bubblewrap(bwrap)优先,无 bwrap 时退 Landlock(内核 ≥5.13)——见 sandbox_native_linux.go
 //   - 其它(Windows 等):无 OS 隔离,退回软黑名单——见 sandbox_native_other.go
 //
 // 网络保持开(否则 go mod / npm / git fetch 全断)。读基本不限,只禁"写到 workspace 外"。

tools/sandbox_native_linux.go

@@ -4,34 +4,51 @@ package tools
 
 import (
 	"context"
+	"os"
 	"os/exec"
+	"path/filepath"
+	"strings"
 	"sync"
+	"syscall"
 	"time"
+
+	"github.com/landlock-lsm/go-landlock/landlock"
+	llsys "github.com/landlock-lsm/go-landlock/landlock/syscall"
 )
 
-// Linux native 隔离:用 bubblewrap(bwrap)。
-// 根挂只读、workspace+临时+缓存挂可写、PID/UTS/IPC namespace 隔进程(看不到也杀不到 host 进程)。
-// 网络保持开(不 --unshare-net)。bwrap 不在则退回裸 shell(由调用方决定是否套软黑名单)。
+// Linux native 隔离,三级择优:
+//   1. bubblewrap(bwrap):根只读 + 可写目录叠加 + PID/UTS/IPC namespace 隔进程。最强。
+//   2. Landlock(内核 ≥5.13):纯文件写禁闭(无进程隔离),按路径授权、不改文件标签。无需装任何东西。
+//   3. 都没有 → 退软黑名单(由 SandboxCheck 调 nativePolicyCheck)。
+// 网络始终开(否则 go mod / npm / git fetch 全断)。读不限,只禁"写到 workspace 外"。
 //
-// 没装 bwrap 的退路:目前直接退回软策略;landlock(内核 ≥5.13)做纯 FS 限制是后续可选项。
+// Landlock 的限制一旦施加于某进程便不可逆,所以不能加在长驻的 deepx 上,只能加在"将要执行命令的那个
+// 进程"里。做法是 re-exec 跳板:nativeShellCmd 让命令以「deepx 自身 + 一组 env 标记」启动,启动后的
+// deepx 在 main() 最早处(RunSandboxTrampolineIfRequested)识别标记 → 施加 Landlock → exec 真正的
+// sh -c <命令>。Landlock 限制随 execve 保留,从而约束到命令本身及其子进程。
+
+const (
+	sbxTrampolineEnv = "DEEPX_SBX_LANDLOCK" // =1 标记本进程是 Landlock 跳板
+	sbxWritableEnv   = "DEEPX_SBX_WRITABLE" // 可写根列表(PathListSeparator 分隔)
+	sbxCmdEnv        = "DEEPX_SBX_CMD"       // 要执行的 shell 命令
+	sbxCwdEnv        = "DEEPX_SBX_CWD"       // 工作目录
+)
 
 var (
 	bwrapProbeOnce sync.Once
 	bwrapProbeOK   bool
+	llProbeOnce    sync.Once
+	llProbeOK      bool
 )
 
-// nativeIsolationAvailable 报告本机能否做 native OS 隔离。
-// 不只查 bwrap 是否存在,而是**实跑一个极简沙箱确认它真能用**——很多发行版禁用了非特权
-// user namespace,bwrap 装了也会在运行时报错。探测一次、整会话缓存。
-// 探测失败 → 一致退回软策略(裸 shell + 黑名单,状态面板显示"软策略")。
-func nativeIsolationAvailable() bool {
+// bwrapAvailable 实跑一个极简 bwrap 沙箱确认真能用(很多发行版禁用非特权 userns,装了也运行时报错)。
+func bwrapAvailable() bool {
 	bwrapProbeOnce.Do(func() {
 		if _, err := exec.LookPath("bwrap"); err != nil {
 			return
 		}
 		ctx, cancel := context.WithTimeout(context.Background(), 3*time.Second)
 		defer cancel()
-		// 跑一个最小沙箱(含我们实际会用的 --unshare-pid):userns 被禁则此处失败
 		err := exec.CommandContext(ctx, "bwrap",
 			"--ro-bind", "/", "/", "--proc", "/proc", "--unshare-pid",
 			"sh", "-c", ":").Run()
@@ -40,29 +57,114 @@ func nativeIsolationAvailable() bool {
 	return bwrapProbeOK
 }
 
-// nativeShellCmd 构造在 bwrap 沙箱里跑命令的 *exec.Cmd;bwrap 不可用则退回裸 shell。
+// landlockAvailable 仅查询内核 Landlock ABI 版本(纯探测,不施加任何限制)。≥1 即支持。
+func landlockAvailable() bool {
+	llProbeOnce.Do(func() {
+		if v, err := llsys.LandlockGetABIVersion(); err == nil && v >= 1 {
+			llProbeOK = true
+		}
+	})
+	return llProbeOK
+}
+
+// nativeIsolationAvailable 报告本机能否做 native OS 隔离(bwrap 或 Landlock 任一)。
+// 都没有 → false,SandboxCheck 退软黑名单。探测各缓存一次。
+func nativeIsolationAvailable() bool {
+	return bwrapAvailable() || landlockAvailable()
+}
+
+// nativeShellCmd 按优先级构造隔离命令:bwrap > Landlock > 裸 shell。
 func nativeShellCmd(command, cwd string) *exec.Cmd {
-	if !nativeIsolationAvailable() {
-		return plainShellCmd(command, cwd)
+	if bwrapAvailable() {
+		return bwrapShellCmd(command, cwd)
+	}
+	if landlockAvailable() {
+		if c := landlockShellCmd(command, cwd); c != nil {
+			return c
+		}
 	}
+	return plainShellCmd(command, cwd)
+}
+
+// bwrapShellCmd 构造在 bwrap 沙箱里跑命令的 *exec.Cmd。
+func bwrapShellCmd(command, cwd string) *exec.Cmd {
 	args := []string{
 		"--ro-bind", "/", "/", // 整个根只读
 		"--dev", "/dev", // 干净的 /dev
 		"--proc", "/proc", // 配合 PID namespace 的新 /proc
 		"--unshare-pid", "--unshare-uts", "--unshare-ipc", // 进程隔离
 		"--die-with-parent", // deepx 退出则沙箱进程一起死
 	}
-	// 可写目录:在只读根之上叠加可写绑定(workspace + 临时 + 缓存)。
-	// 用 --bind-try 而非 --bind:候选里含 macOS 专属路径(/private/tmp、~/Library/Caches),
-	// 这些在 Linux 上不存在,普通 --bind 绑定不存在的 source 会致命报错
-	// "bwrap: Can't find source path ..." 导致每条命令都挂(见 issue #68)。--bind-try 跳过即可。
+	// 可写目录:在只读根之上叠加可写绑定。用 --bind-try 而非 --bind:候选含 macOS 专属路径
+	// (/private/tmp、~/Library/Caches),Linux 上不存在,普通 --bind 绑不存在的 source 会致命报错。
 	for _, p := range nativeWritableRoots(cwd) {
 		args = append(args, "--bind-try", p, p)
 	}
 	if cwd != "" {
 		args = append(args, "--chdir", cwd)
 	}
 	args = append(args, "sh", "-c", command)
-	// cwd 通过 --chdir 传入沙箱;不设 c.Dir(宿主侧),避免与 bind 语义冲突
 	return exec.Command("bwrap", args...)
 }
+
+// landlockShellCmd 以 deepx 自身作 re-exec 跳板,带 env 标记启动;跳板进程负责施加 Landlock 再 exec 真命令。
+func landlockShellCmd(command, cwd string) *exec.Cmd {
+	exe, err := os.Executable()
+	if err != nil {
+		return nil // 拿不到自身路径就放弃 Landlock,退裸 shell
+	}
+	c := exec.Command(exe)
+	c.Env = append(os.Environ(),
+		sbxTrampolineEnv+"=1",
+		sbxWritableEnv+"="+strings.Join(nativeWritableRoots(cwd), string(os.PathListSeparator)),
+		sbxCmdEnv+"="+command,
+		sbxCwdEnv+"="+cwd,
+	)
+	return c
+}
+
+// RunSandboxTrampolineIfRequested 必须在 main() 最早处调用。
+// 若本进程带 Landlock 跳板标记:施加"读全局 / 只写可写根"的 Landlock 写禁闭,然后 exec sh -c <命令>,
+// 永不返回。否则立即返回,deepx 正常启动。
+func RunSandboxTrampolineIfRequested() {
+	if os.Getenv(sbxTrampolineEnv) != "1" {
+		return
+	}
+	cwd := os.Getenv(sbxCwdEnv)
+	command := os.Getenv(sbxCmdEnv)
+	var roots []string
+	if w := os.Getenv(sbxWritableEnv); w != "" {
+		roots = filepath.SplitList(w)
+	}
+	if cwd != "" {
+		_ = os.Chdir(cwd)
+	}
+
+	// 读全局(RODirs 含执行权限,能跑二进制),只写可写根。缓存目录可能不存在 → IgnoreIfMissing。
+	rules := []landlock.Rule{landlock.RODirs("/")}
+	for _, r := range roots {
+		if r != "" {
+			rules = append(rules, landlock.RWDirs(r).IgnoreIfMissing())
+		}
+	}
+	// BestEffort:内核版本不够则尽力而为,绝不因 Landlock 失败而拒跑命令(最坏退化为不隔离)。
+	_ = landlock.V5.BestEffort().RestrictPaths(rules...)
+
+	// 清掉跳板自用的 env,避免泄漏给子命令(否则子命令里再起 deepx 会被误判为跳板)。
+	env := make([]string, 0, len(os.Environ()))
+	for _, kv := range os.Environ() {
+		if strings.HasPrefix(kv, sbxTrampolineEnv+"=") || strings.HasPrefix(kv, sbxWritableEnv+"=") ||
+			strings.HasPrefix(kv, sbxCmdEnv+"=") || strings.HasPrefix(kv, sbxCwdEnv+"=") {
+			continue
+		}
+		env = append(env, kv)
+	}
+
+	sh, err := exec.LookPath("sh")
+	if err != nil {
+		sh = "/bin/sh"
+	}
+	// exec 替换当前进程映像;Landlock 域随 execve 保留 → 真正约束 sh 及其后代。
+	_ = syscall.Exec(sh, []string{"sh", "-c", command}, env)
+	os.Exit(127) // 只有 exec 失败才会走到这
+}

tools/sandbox_trampoline_other.go

@@ -0,0 +1,6 @@
+//go:build !linux
+
+package tools
+
+// 仅 Linux 用 Landlock re-exec 跳板;其它平台无此机制,空实现,main() 调用它即立即返回。
+func RunSandboxTrampolineIfRequested() {}