linux沙盒程序,沙盒应用程序如何?
问题描述
我想运行小的不受信任的程序,但限制它们访问其文件夹之外的任何文件,网络访问以及其他并不真正需要的文件。实现这一目标的最简单方法是什么?
最佳解决方案
如果它们真的不受信任,并且您想确定,则需要设置一个单独的框。无论是真的,还是虚拟的。
此外,如果你足够偏执,你不希望那个盒子与你重要的东西在同一个网络中。在所有解决方案中,您都设置了一个没有权限的单独用户,因此不要向would-be泄密者打开太多工具。
因此,最安全的选择是从网络中物理删除单独的框。
您可以通过将其添加到物理网络,但在不同的子网上给出一点:内部没有’real’连接
虚拟机可能是一种选择,但可能不得不放弃一些性能
如果你必须在同一个盒子上运行它,你就有了这个选项
chroot环境。对于许多人来说,这是一个默认选项,对于non-specific威胁,它甚至可能起作用。但它不是一个安全选项,可以很容易地打破。我建议按预期使用它,即不是为了安全。
最后,您可能需要设置一个特定的沙盒模型,而不需要虚拟化或单独的框的麻烦,或者chroot的still-at-risk情况。我怀疑这是你的意思,但请看这个链接获取更多in-depth信息:https://stackoverflow.com/questions/4249063/how-can-i-run-an-untrusted-c-program-in-a-sandbox-in-linux
次佳解决方案
Docker将帮助您设置可以从当前内核运行的容器,但是要远离系统的其他部分。它似乎相当前沿,但有一个Ubuntu焦点一个很好的文档。
第三种解决方案
Firejail相当新,并且在不断发展。使用方便。
你可以简单地说:
sudo apt-get install firejail
firejail app
第四种方案
一种可能的解决方案是虚拟化软件,例如虚拟盒,您可以在软件中心找到它。
安装虚拟框
创建启用了网络的虚拟机
安装Ubuntu或者更轻的桌面,如Lubuntu
完全更新已安装的操作系统(在虚拟框内)
在虚拟机上禁用网络连接
拍一张快照
您现在可以安装您不信任的软件以查看它的功能。它不能扰乱外部世界,也不能托管操作系统,因为它没有访问权限。
但它可能会丢弃您的虚拟机,但如果是,您可以从快照中恢复。
可能还有其他方法可以限制不受信任的软件的破坏力,但这是我能想到的最强大的方法。
另一种选择可能是LXC更多信息here
LXC是Linux Containers的用户空间控制包,Linux容器是一种轻量级虚拟系统机制,有时称为“chroot on steroids”。
LXC从chroot构建,以实现完整的虚拟系统,为Linux现有的流程管理基础架构添加资源管理和隔离机制。
它可以在软件中心使用。但是我没有经验。
第五种方案
MBOX
“Mbox是一种轻量级的沙盒机制,任何用户都可以在商用操作系统中使用而无需特殊权限。” http://pdos.csail.mit.edu/mbox/
我已经可靠地用它做了几件事。
第六种方案
您可以使用subuser使用Docker对应用程序进行沙箱处理。这允许您执行沙盒GUI应用程序之类的操作,这对Docker来说并不容易。
参考资料
linux沙盒程序,沙盒应用程序如何?相关推荐
- ios 运行android应用程序,iOS与Android应用程序沙盒机制的研究与总结
简介 复杂系统始终存在漏洞, 软件复杂性只会随着时间的推移而增加.无论您如何谨慎地采用安全编码实践并防范错误, 攻击者只需通过一次防御即可成功.虽然应用沙盒不能防止对你的应用的攻击, 但它确实最大限度 ...
- linux 在沙盒中运行,Linux容器的细粒度沙盒策略执行方法与流程
本发明专利属于计算机技术领域,涉及云计算安全方向.更具体的讲,本发明专利涉及一种Linux容器的细粒度沙盒策略执行方法. 背景技术: Linux容器技术采用命名空间将进.文件.设备等资源进行隔离,为用 ...
- tor the onion router下载_盒马生鲜超市购物app下载,打开盒马鲜生小程序!
epsi,a drink for indigestion 百事,一种医治消化不良的饮料 Like many other carbonated beverages,Pepsi began to be s ...
- 微信小程序盲盒系统源码 附带教程
微信小程序盲盒系统源码 可对接微信支付 附带教程 盲盒小程序的教学 服务器安装宝塔面板 设置好网站 数据库 设置好SSL证书 上传微擎框架 框架安装好 上传小程序后台 /addons 这个目录是放置后 ...
- 交友盲盒小程序源码/一元脱单小程序盲盒脱单盲盒交友相亲小程序带流量主
本资源可免费获取,请至尾部读阅! 交友盲盒源码,一元脱单小程序盲盒源码.脱单盲盒交友相亲小程序源码,带流量主.测试没问题,带部署教程,后端为laravel5框架独立版本. 抖音最火项目,特色功能:存取 ...
- 【程序源代码】脱单盲盒交友盲盒 小程序源码
" 关键字: "脱单盲盒 交友盲盒 小程序 " 导读: 最近很火的一元交友,大家应该不陌生吧- 月老在线牵盲盒/交友盲盒/一元交友/存取小纸条盲盒交友匹配交友趣味交友 ...
- 想做盲盒扭蛋机小程序-如何选择服务商
如果是选择盲盒扭蛋机小程序模板开发服务商,模板所提供的功能原原不足以满足多元化玩法,甚至会变成一种商品商城销售模式. 所以如果需要选择小程序的话一定要选择有成功的盈利玩法案例的服务商来提供版本体验. ...
- 微信小程序界面设计小程序中CSS3样式精通课程-边框-box-shadow 盒阴影
边框-box-shadow 盒阴影 微信小程序交流群:111733917 | 微信小程序从0基础到就业的课程:https://edu.csdn.net/topic/huangjuhua 通用语法 浏览 ...
- 盘点几大沙雕又有趣的 GitHub 程序,你看过了吗?
GitHub作为全球最大的同性(程序员)交友(协作)网站,是一个免费的开源软件中心,其中不乏一些具有创造性的项目,下面我们就来梳理一些超有趣的开源程序. 1.对王之王--对穿肠 https://git ...
- “不会Linux,怎么当程序员?”骨灰级程序员:干啥都不行。
说起优秀程序员的必备技能,我想大家都可以说很多,比如:数据结构.算法.数学.编程语言等等. 但是,你可能会忽略了每一个程序员都应该掌握的技能:Linux. 想一想,我们日常学习.求职.工作场景的中,你 ...
最新文章
- django 上传文件夹_django文件上传
- 【ASP.NET北大青鸟】-总结(二)
- cache老化时间的思考--以nat为例
- 电脑上显示没有其他服务器服务,电脑显示没有远程服务器地址
- mysql合并到区间_合并区间
- python linux 优化_Linux性能优化(一)
- shell 脚本 生成文件,文件名为日期时间
- 在线电脑配置PHP源码,域名授权系统PHP源码 V2.7.0 支持盗版追踪
- 万恶的C++ 【1】:类型及运算
- 屏幕坏点检测图片_【沙发管家】教你自己测试智能电视屏幕
- 未能加载“xxx”程序集
- TPshop学习(1)Windows下安装TPshop
- 当你的游戏道具,被做成了生意......
- 如何设置Mac电脑的DNS
- JSR-330 JAVA 依赖注入标准API说明
- 基于java的高校实验室排课系统
- Atlas:手淘Native容器化框架和思考-玄黎
- 开源中国源码学习UI篇(二)之NavigationDrawer+Fragment的使用分析
- pid控制加热算法,附代码仓库——开源免费
- html模块 码工助手,码工助手
热门文章
- 有趣的KaTeX(附源码)
- Qt如何支持高分辨率屏幕(高分屏)
- 什么是MES系统,实施难度大不大?
- C - char与wchar_t(TCHAR/WCHAR)之间的相互转换
- ETL工程师系列课程_Oracle数据库
- 固态硬盘使用的优化——适用于任何版本的固态
- STM32 USB SD读卡器(SDIO)
- sublimelinter php 语法不起作用,sublime安装插件sublimeLinter不起作用解决办法
- 八核版三星Galaxy S4(I9500)root教程
- linux 对函数的未定义的引用,对libncurses中函数的未定义引用