Un container Linux è un processo isolato. È questa la definizione più semplice che si può dare e che chiarisce tutta una serie di aspetti del funzionamento della tecnologia che al momento regge l’intero cloud web. Dire container in realtà sottintende tutta una serie di impliciti che appartengono alla galassia Kernel: i Namespace, i CGroup e le immagini, tre elementi che uniti insieme compongono la struttura di quello che noi chiamiamo container, ma che sarebbe più giusto chiamare istanza dell’immagine di un container. La gestione dei container, sin dalla presentazione di Docker, nel 2013, è stata affidata a tool il cui scopo è esattamente quello di rendere trasparente la complessità di creazione e gestione delle istanze. Docker ne è un esempio, così come Podman, così come Kubernetes che estende questa cosa in un contesto cluster.

Landlock è rientra nella categoria di programmi che si chiamano Linux Security Module (LSM), la stessa per intenderci di SELinux e AppArmor, ed ha una peculiarità estremamente interessante: può essere usata da un processo non privilegiato per restringere sé stesso, aumentando la sicurezza in scenari come esecuzione di plugin, sandboxing di componenti, o gestione di input non fidato.