安全运行未知应用程序

安全运行未知应用程序

在 *nix 环境中运行未知脚本和应用程序的最快方法是什么?

例如,禁止在工作目录之外写入和读取。或者限制对硬件和大多数命令的访问。

虚拟机似乎是最灵活的。添加新的受限用户是另一种选择。

还有更好的方法吗?

答案1

您可以使用命名空间将未知进程与系统的其余部分隔离;一个可以简化这一过程并特别强调安全性的工具是泡沫包装(这是使用例如经过弗莱帕克)。

在 Fedora 风格的系统上,它就像这样简单

bwrap --ro-bind /usr /usr --symlink usr/lib64 /lib64 --proc /proc --dev /dev --unshare-pid bash

但你应该阅读文档。

这种方法比使用受限用户更安全,并且比使用虚拟机更轻。这是否更好取决于您的具体要求。

相关内容