linux 在沙盒中运行,在Linux的沙盒中运行不受信任的C程序,阻止它打开文件,分叉等?...

最新推荐文章于 2021-05-14 21:34:07 发布
最新推荐文章于 2021-05-14 21:34:07 发布
阅读量219 收藏
点赞数
文章标签: linux 在沙盒中运行

我已经使用

Systrace到沙箱不受信任的程序交互式和自动模式。它有一个基于

ptrace()的后端,允许它在没有特殊权限的Linux系统上使用,以及一个更快,更强大的后端,需要修补内核。

也可以使用chroot(1)在类Unix系统上创建一个沙盒,虽然这不是那么容易或安全。 Linux Containers和FreeBSD jails是chroot的更好的替代品。在Linux上的另一个替代方案是使用像SELinux或AppArmor这样的安全框架,这是我建议的生产系统。

我们将能够帮助你更多,如果你告诉你,究竟是什么,你想做的。

编辑:

Systrace会为你的情况工作,但我认为基于Linux Security Model的东西,如AppArmor或SELinux是一个更标准的,因此首选,替代,这取决于您的分布。

编辑2:

虽然chroot(1)可用于大多数(所有?)类Unix系统,它有很多问题:

>它可以打破。如果你要在系统上实际编译或运行不受信任的C程序,你特别容易遇到这个问题。如果你的学生是我的,有人会试图打破监狱。

>您必须创建一个完整的独立文件系统层次结构,其中包含任务所需的所有内容。你不必在chroot中有一个编译器,但是应该包括运行编译的程序所需的任何东西。虽然有些实用程序可以帮助这一点,但它仍然不是微不足道。

>你必须维护chroot。因为它是独立的,所以chroot文件不会随着你的发行版一起更新。您必须定期重新创建chroot,或者在其中包含必要的更新工具,这本质上要求它是一个完整的Linux发行版。您还必须保持系统和用户数据(密码,输入文件e.t.c.)与主机系统同步。

> chroot()只保护文件系统。它不能防止恶意程序打开网络套接字或一个不好写的,从吸吮每一个可用的资源。

资源使用问题在所有备选方案中是常见的。 Filesystem quotas将阻止程序填充磁盘。正确的ulimit(C的setrlimit())设置可以防止内存过度使用和任何叉车炸弹,以及停止CPU猪。 nice(1)可以降低这些程序的优先级,以便计算机可以用于任何被认为更重要且没有问题的任务。

白汐牙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全性:使用在用户空间实现的基于功能的授权,在沙盒环境运行进程,以防止在Linux未经授权调用开放系统调用
02-04
Linux安全性:使用在用户空间实现的基于功能的授权,在沙盒环境运行进程,以防止在Linux未经授权调用开放系统调用
firejail:Linux 命名空间沙箱程序-开源
06-04
Firejail 是一个 SUID 程序,它通过使用 Linux 命名空间和 seccomp-bpf 限制不受信任的应用程序运行环境来降低安全漏洞的风险。 它允许进程及其所有后代拥有自己的全局共享内核资源的私有视图,例如网络堆栈、进程表、挂载表。 该软件是用 C 语言编写的,几乎没有依赖关系,可以在任何具有 3.x 内核版本或更新版本的 Linux 计算机上运行沙箱是轻量级的,开销很低。 无需编辑复杂的配置文件,无需打开套接字连接,无需后台运行的守护进程。 所有安全功能都直接在 Linux 内核实现,并可在任何 Linux 计算机上使用。 Firejail 可以沙箱处理任何类型的进程:服务器、图形应用程序,甚至用户登录会话。 该软件包括大量 Linux 程序的安全配置文件:Mozilla Firefox、Chromium、VLC、Transmission 等。
linux沙盒程序,沙盒应用程序如何?
weixin_39673972的博客
05-02 690
问题描述我想运行小的不受信任程序,但限制它们访问其文件夹之外的任何文件,网络访问以及其他并不真正需要的文件。实现这一目标的最简单方法是什么?最佳解决方案如果它们真的不受信任,并且您想确定,则需要设置一个单独的框。无论是真的,还是虚拟的。此外,如果你足够偏执,你不希望那个盒子与你重要的东西在同一个网络。在所有解决方案,您都设置了一个没有权限的单独用户,因此不要向would-be泄密者打开太多工...
linux沙盒运行,Linux容器的细粒度沙盒策略执行方法与流程
weixin_29430691的博客
04-30 226
本发明专利属于计算机技术领域,涉及云计算安全方向。更具体的讲,本发明专利涉及一种Linux容器的细粒度沙盒策略执行方法。背景技术:Linux容器技术采用命名空间将进、文件、设备等资源进行隔离,为用户提供几近原生的性能体验,极大降低了虚拟化的额外开销。Docker容器是最具代表性的Linux容器技术之一。Linux容器的安全问题已成为限制其广泛使用的重要影响因素。安全问题主要来源于,系统调用接口未实...
linux沙盒机制6,IOS沙盒机制(SandBox)
weixin_39882948的博客
05-14 193
转载自:http://www.cnblogs.com/taintain1984/archive/2013/03/19/2969201.htmlIOS沙盒机制(SandBox)是一种安全体系,它规定了应用程序只能在为该应用创建的文件夹内读取文件,不可以访问其他地方的内容。所有的非代码文件都保存在这个地方,比如图片、声音、属性列表和文本文件等。1.每个应用程序都在自己的沙盒内2.不能随意跨越自己的...
Java Sandbox Library:在安全的沙盒环境轻松运行不受信任的代码。-开源
07-10
该库可帮助开发人员在安全的沙盒环境轻松运行不受信任的代码。 它易于使用并且类似于 Java 现有的“AccessController.doPriviledged()”方法,因此熟悉标准 Java 类的用户已经能够使用该库。 它是高度可定制的,...
基于JavaScript和Html的模拟电梯运行电梯沙盒游戏.zip
06-20
在执行区域你可以看到你的电梯实际运行的情况,这个区域分为两个部分 楼层:执行区域每一行都是一个楼层,楼层的最左边会显示一个楼层号,表示这是第几层楼,其右边会显示在这个楼层等待的乘客以及乘客的期望...
万能脱壳工具 - 一款在沙盒运行的脱壳工具
最新发布
01-27
万能脱壳工具是一款自带虚拟机的脱壳工具,这款软件可以用于解包恶意程序进程深度分析,软件自带了虚拟机,就像是在沙盒运行一样,不会对你的系统产生损害。如果你对系统的安全意识非常高,想要解包恶意程序的时候...
postman-sandbox:邮递员脚本的沙盒,可在Node.js或浏览器运行
04-27
在Node.js和浏览器统一执行第三方JavaScript的模块。 该模块是Postman Runtime Core的一部分,不能独立使用。 如果您要执行收集,则应该使用 用法 var Sandbox = require ( 'postman-sandbox' ) , context ; ...
基于多安全机制的Linux应用沙箱的设计与实现.pdf
09-06
基于多安全机制的Linux应用沙箱的设计与实现.pdf
linux python 沙盒,virtualenv -- python虚拟沙盒linux版本)(示例代码)
weixin_30800615的博客
05-12 178
有人说:virtualenv、fabric 和 pip 是 pythoneer 的三大神器。不管认不认同,至少要先认识一下,pip现在倒是经常用到,virtualenv第一次听说,不过,总得尝试一下吧。一、安装pip install virtualenv因为我已经安装了pip,那么就直接用pip来安装了,简单方便。二、创建虚拟环境[emailprotected]:/recall/code# vi...
linux创建沙箱环境,Linux平台上的Firefox添加新安全沙盒系统
weixin_42113456的博客
05-10 195
原标题:Linux平台上的Firefox添加新安全沙盒系统Mozilla 将向 Linux 和 Mac 上的 Firefox 添加新的安全沙盒系统,这项名为 RLBox 的新技术通过将第三方库与应用程序的本机代码分离开来工作,防止恶意代码逃逸到第三方库之外。 Mozilla 开发人员在 Mozilla Hacks 上发布了一篇有关 RLBox 的功能和操作模式的详细技术的博客。文章指出,RLBox...
linux沙盒机制6,详解Android应用沙盒机制
weixin_29517217的博客
05-14 497
前言Android使用沙盒来保护用户不受恶意应用的侵害,同时也将应用隔离开来,防止他们互相访问其数据,本文主要对Android应用沙盒的几种技术做简要的总结。一、Android应用DAC沙盒稍微了解Android一点的人都知道,Android上的App并不像Linux上的用户程序那样,启动应用的uid默认就是登录用户的uid,除非你使用sudo或者setuid等机制。而是每个Android应用都...
linux分区粒度,Linux容器的细粒度沙盒策略挖掘方法与流程
weixin_34626306的博客
05-03 177
本发明专利属于计算机技术领域,涉及云计算安全方向。更具体的讲,本发明专利涉及一种Linux容器的细粒度沙盒策略挖掘方法。背景技术:Linux容器技术采用命名空间将进、文件、设备等资源进行隔离,为用户提供几近原生的性能体验,极大降低了虚拟化的额外开销。Docker容器是最具代表性的Linux容器技术之一。Linux容器的安全问题已成为限制其广泛使用的重要影响因素。安全问题主要来源于,系统调用接口未实...
使用chroot构建linux沙盒
热门推荐
jollyjumper的专栏
10-11 1万+
因为idc上挂了一个外部网站,idc权限一般不外放,之前给一个登录shell为/bin/nologin的用户建ftp,现在希望更进一步,可以ssh到该目录使用git命令进行代码管理。早先知道有个chroot命令,今天用了一下。如: chroot /home/chroot /bin/bash 注意如果提示no such file or directory,实际上是提示/bin/bash或它需要
应用程序linux如何默认启动不了,如何在Linux安全地运行不受信任的应用程序...
weixin_35749786的博客
05-01 402
原标题:如何在Linux安全地运行不受信任的应用程序有时您可能希望使用在不同环境未经过良好测试的应用程序,但您必须使用它们。在这种情况下,关注系统的安全性是正常的。在Linux可以做的一件事是在沙箱使用应用程序。“沙盒”是在有限环境运行应用程序的能力。这样,应用程序就可以提供运行所需的大量资源。由于名为Firejail的应用程序,您可以安全地在Linux运行不受信任的应用程序。Fire...
linux沙盒运行,链接器在通过bazel运行时在沙盒失败,但在从命令行执行沙盒命令时工作...
weixin_30980025的博客
04-30 198
external/toolchain_e6500/sysroots/x86_64-fslsdk-linux/usr/bin/powerpc64-fsl-linux/../../libexec/powerpc64-fsl-linux/gcc/powerpc64-fsl-linux/4.9.2/real-ld: cannot find /lib64/libc.so.6external/toolchai...
vscode运行2个程序_如何在Linux安全地运行不受信任的应用程序
weixin_39867200的博客
11-10 135
有时您可能希望使用在不同环境未经过良好测试的应用程序,但您必须使用它们。在这种情况下,关注系统的安全性是正常的。在Linux可以做的一件事是在沙箱使用应用程序。“沙盒”是在有限环境运行应用程序的能力。这样,应用程序就可以提供运行所需的大量资源。由于名为Firejail的应用程序,您可以安全地在Linux运行不受信任的应用程序。Firejail是一个SUID(设置所有者用户ID)...
Objective-C,将后台返回的图片URL转化成.png文件保存在沙盒,请展示具体代码
06-13
好的,根据您的要求,以下是Objective-C将后台返回的图片URL转化成.png文件保存在沙盒的代码示例: ```objective-c // 首先获取图片的URL NSURL *imageURL = [NSURL URLWithString:@"https://example.com/image.jpg"]; // 通过URL获取图片数据 NSData *imageData = [NSData dataWithContentsOfURL:imageURL]; // 获取沙盒Documents目录路径 NSArray *paths = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES); NSString *documentsDirectory = [paths objectAtIndex:0]; // 将图片保存在沙盒 NSString *filePath = [documentsDirectory stringByAppendingPathComponent:@"image.png"]; [imageData writeToFile:filePath atomically:YES]; ``` 这段代码会将从指定URL获取的图片数据保存为一个名为“image.png”的文件,存储在应用程序沙盒的Documents目录下。您可以根据需要修改文件名和存储路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值