在 *NIX 环境中沙箱应用程序的最简单方法是什么?

信息安全 linux 沙盒 Unix 隔离
2021-09-09 12:32:29

我有大量不受信任的二进制应用程序需要在 *nix 机器上执行。

我希望可能有一些简单的命令/脚本(例如sandbox ./app1953)可以很容易地用于隔离单个应用程序,使其无法损害或访问系统的其余部分(我只需要访问标准输入/标准输出)。

我宁愿不使用成熟的虚拟机,因为运行数千个操作系统副本所产生的开销比我想考虑的要大得多。

2个回答

没有安全、易于使用的命令行沙箱实用程序。Firejail 等流行的实用程序通常比疾病更糟糕,许多沙盒绕过和特权升级漏洞已经在其中被发现(并且还在继续被发现)。沙盒化应用程序通常需要使用强制访问控制,例如流行的AppArmorSELinux框架。这通常涉及针对特定应用程序量身定制的定制安全策略。

我在另一个答案中写了很多关于 Linux 沙盒的内容

firejail命令行实用程序取决于 SeLinux 的 apparmor

apt install firejail
firejail --whitelist=~/Chroot bash
其它你可能感兴趣的问题
上一篇在哪里可以找到椭圆曲线名称及其别名的规范列表? 下一篇为什么 pdf2john 不提取此加密 pdf 的密码哈希?得到空白结果