A quick look at unprivileged sandboxing
10 months ago
- #Linux
- #syscalls
- #sandboxing
- 文章讨论了如何在不需root权限的情况下将服务器守护进程限制在单一目录内的方法。
- 重点介绍了OpenBSD的`unveil()`和`pledge()`系统调用,因其能简单有效地限制文件系统访问和系统调用。
- Linux的Landlock被提出作为`unveil()`的更复杂替代方案,需要详细配置但提供类似的隔离能力。
- 提及了util-linux中的`setpriv`命令,可通过命令行应用Landlock规则,但会限制整个程序。
- 通过Linux命名空间和挂载的详细示例,展示了一种更复杂的目录隔离方法,类似于Bubblewrap的实现方式。
- 文章最后倡导使用更简单易用的沙盒工具(如`unveil()`和`pledge()`),以促进广泛采用和正确性。