Вопросы Теги

Как запустить программы в Песочнице?

rsync также делает сжатие. Используйте -z флаг. При работании ssh, можно также использовать режим сжатия ssh. Мое чувство состоит в том, что повторные уровни сжатия не полезны; это просто запишет циклы без значительного результата. Я рекомендовал бы экспериментировать с rsync сжатие. Это кажется довольно эффективным. И я предложил бы пропустить использование tar или любой другой пред/сообщение сжатие.

Я обычно использую rsync как rsync -abvz --partial....

7
10.01.2013, 09:01
3 ответа

Я не могу дать Вам полный ответ, так как я не знаю, но что я действительно знаю, то, что команда chroot разработана для подобного если не та же самая цель.

1
27.01.2020, 20:19
  • 1
    chroot хорошо для основной безопасности, но необходимо знать, что существуют способы убежать из a chroot среда. –  Elias Probst 17.12.2013, 11:45
  • 2
    @EliasProbst, о? Я не знал, я не слишком знаком с chroot на самом деле –  Karthik T 17.12.2013, 12:43
  • 3
    Это @EliasProbst, плюс установка chroot тюрьмы для нетривиального программного обеспечения может быть головной болью. Это зависит от точно, что делает программное обеспечение и как это делает это. Программное обеспечение Server обычно добивается большего успеха в chroot тюрьмах, чем ориентированное пользователями программное обеспечение (рабочий BIND в chroot тюрьме не так плох, но я не попытался бы выполнить LibreOffice в chroot тюрьме, например...), –  a CVn 17.12.2013, 14:50
  • 4
    Используя systemd-nspawn или docker это может быть достигнуто действительно действительно легкое. Нет chroot основанный, но на основе LXC вместо этого, который даже немного более безопасен, чем плоскость chroot и обеспечивает лучшую изоляцию от хоста. –  Elias Probst 17.12.2013, 16:03

Патч ядра linux-vserver и связанное с ним пользовательское пространство (см. http://linux-vserver.org/) позволяют запускать программы в их собственных изолированных контейнерах, не требуя полной виртуализации гостевой ОС.

Контейнеры linux-vserver имеют собственное пространство имен монтирования, собственное сетевое пространство имен, собственный контекст безопасности и т.д.

Обратите внимание, что linux-vserver был разработан в основном для запуска серверов; хотя вы можете запускать настольные приложения в контейнере linux-vserver, вам нужно будет знать, что вы делаете.

Другой подход заключается в использовании AppArmor для ограничения того, что разрешено делать вашей программе.

1
27.01.2020, 20:19

Я хочу поделиться Firejail, программой типа Sandboxie для Linux, с графическим интерфейсом.

Посмотрите здесь: https://firejail.wordpress.com/ and download from https://sourceforge.net/projects/firejail/ or https://pkgs.org/debian-sid/debian-main-amd64/firejail_0.9.38-1_amd64.deb. html (измените под свою систему)

Легко использовать; просто запустите firejail поверх вашей команды/программы, в этом случае firejail wine program.exe

В случае, если вы хотите проверить эти программы перед запуском, вы можете связать их все вместе, используя firejail wine winedbg --gdb program.exe для запуска wine debugger jailed.

Возможно, вы думаете о том, насколько это может быть полезно. Посмотрите, как полностью запустить установку wordpress с firejailed, как пример сложной песочницы. https://www.digitalocean.com/community/tutorials/how-to-use-firejail-to-set-up-a-wordpress-installation-in-a-jailed-environment

Никогда не доверяйте бинарным файлам (exe).

2
27.01.2020, 20:19

Теги

Похожие вопросы