安全运行未知应用程序

Question

您可以使用命名空间将未知进程与系统的其余部分隔离；一个可以简化这一过程并特别强调安全性的工具是泡沫包装（这是使用例如经过弗莱帕克）。

在 Fedora 风格的系统上，它就像这样简单

bwrap --ro-bind /usr /usr --symlink usr/lib64 /lib64 --proc /proc --dev /dev --unshare-pid bash

但你应该阅读文档。

这种方法比使用受限用户更安全，并且比使用虚拟机更轻。这是否更好取决于您的具体要求。

Answer 1

您可以使用命名空间将未知进程与系统的其余部分隔离；一个可以简化这一过程并特别强调安全性的工具是泡沫包装（这是使用例如经过弗莱帕克）。

在 Fedora 风格的系统上，它就像这样简单

bwrap --ro-bind /usr /usr --symlink usr/lib64 /lib64 --proc /proc --dev /dev --unshare-pid bash

但你应该阅读文档。

这种方法比使用受限用户更安全，并且比使用虚拟机更轻。这是否更好取决于您的具体要求。

相关内容