Landlock是一个在Linux内核中实现的安全模型，它允许进程在较低的特权级别下运行，并限制其对内核和系统资源的访问。它提供了一种细粒度的权限控制机制，可以用于创建沙盒环境和隔离敏感操作。Landlock的实现基于eBPF（ExtendedBerkeleyPacketFilter）技术，在Linux5.15内核中引入了对Landlock的支持。它使用eBPF程序作为安全策略的表达方式，通过BPF虚拟机执行这些程序来进行权限控制。具体来说，Landlock通过以下方式实现了权限控制：1.Landlock域（landlock_domain）一个Landlock域定义了一组资源和权限的集合，用于