web-dev-qa-db-ja.com

* NIX環境でアプリケーションをサンドボックス化する最も簡単な方法は何ですか?

* nixボックスで実行する必要がある信頼できないバイナリアプリケーションがかなりあります。

いくつかの簡単なコマンド/スクリプト(例:sandbox ./app1953)これは、システムの残りの部分に危害を加えたり、アクセスしたりすることから単一のアプリケーションを分離するために簡単に使用できます(私はstdin/stdoutへのアクセスのみが必要です)。

OSの何千ものコピーを実行することによるオーバーヘッドは、私が考えているよりもかなり大きいので、本格的な仮想マシンを使用したくありません。

3
Stack Tracer

安全で使いやすいコマンドラインサンドボックスユーティリティはありません。 Firejailなどの一般的なユーティリティは、多くの場合、この病気よりも治癒が悪くなる可能性があり、多くのサンドボックスバイパスおよび特権昇格の脆弱性 見つかった (そして引き続き見つかります)。通常、アプリケーションをサンドボックス化するには、人気のある AppArmor または SELinux フレームワークなどの必須のアクセス制御を使用する必要があります。これには通常、特定のアプリケーションに合わせてカスタマイズされたセキュリティポリシーが含まれます。

別の答え でLinuxサンドボックスについて多くのことを書きました。

3
forest