Làm thế nào để chạy các chương trình trong Sandbox?

7

Tôi đã sử dụng PlayOnLinuxđể chạy các chương trình windows trên Linux. PlayOnLinuxtạo một ổ đĩa ảo cho mỗi chương trình được cài đặt và mỗi VD đại diện cho một máy tính Windows XP khác nhau.

Mọi thay đổi được thực hiện bởi chương trình chỉ nằm trong VD riêng của nó. Vì vậy, nếu tôi chạy một chương trình có virus, tôi chỉ cần xóa VD của chương trình và tất cả đều ổn.

Có một chương trình tương tự cho phép các chương trình Linux được chạy trong một ổ đĩa ảo không? tức là tôi muốn PlayOnLinux/ Winetrừ đi phần mô phỏng của windows.

wine sandbox emulation

— Kshitiz Sharma
nguồn

3

rượu vang không phải là một hộp cát; điều đó chỉ xảy ra khi các ứng dụng Windows không cố gắng thoát ra khỏi hệ thống.

— Ignacio Vazquez-Abrams

2

Tôi muốn chia sẻ Firejail, Sandboxie như phần mềm cho Linux, bao gồm GUI.

Hãy xem tại đây: https://firejail.wordpress.com/ và tải xuống từ https://sourceforge.net/projects/firejail/ hoặc https://pkgs.org/debian-sid/debian-main-amd64/firejail_0 .9,38-1_amd64.deb.html (thay đổi hệ thống của bạn)

Dễ sử dụng; chỉ cần chạy firejail trên đầu lệnh / phần mềm của bạn, trong trường hợp đófirejail wine program.exe

Trong trường hợp bạn muốn kiểm tra các chương trình đó trước khi chạy chúng, bạn có thể xâu chuỗi tất cả chúng lại với nhau bằng cách sử dụng firejail wine winedbg --gdb program.exetrình gỡ lỗi rượu vang bị bỏ tù.

Có lẽ bạn đang nghĩ nó có thể tốt đến mức nào. Hãy xem làm thế nào để chạy hoàn toàn cài đặt wordpress bị cháy, ví dụ như một hộp cát phức tạp. https://www.digitalocean.com/community/tutorials/how-to-use-firejail-to-set-up-a-wordpress-installation-in-a-jails-en môi trường

Không bao giờ tin tưởng một phần của blob nhị phân (exe).

— m3
nguồn

@Jeff Schaller. Tôi đã tìm kiếm ý nghĩa của wanna và tôi không thể hiểu tại sao bạn chỉnh sửa "Tôi muốn" thành "muốn". Cảm ơn các chỉnh sửa khác, tôi không phải là người Anh và bất kỳ loại học tập / chỉnh sửa nào đều được hoan nghênh. (Muốn định nghĩa, muốn: Tôi muốn ra khỏi đây. Xem thêm.)

— m3nda

bởi vì đó là tiếng lóng cho cụm từ đầy đủ, và tôi nghĩ nó có vẻ chuyên nghiệp hơn và sẽ dễ hiểu hơn đối với những người nói tiếng Anh không phải là người bản xứ khác.

— Jeff Schaller

Tôi không phải người bản xứ và tôi có thể hiểu nó. Nhưng dù sao bạn cũng đúng về tuyên bố của mình. cảm ơn bạn.

— m3nda

1

Tôi không thể cung cấp cho bạn một câu trả lời đầy đủ vì tôi không biết, nhưng điều tôi biết là lệnh chroot được thiết kế tương tự nếu không có cùng mục đích.

— Karthik T
nguồn

1

chrootBảo mật cơ bản là ổn, nhưng bạn nên biết rằng có nhiều cách để thoát ra khỏi chrootmôi trường.

— Elias Probst 17/12/13

@EliasProbst oh? Tôi đã không nhận thức được, tôi thực sự không quá quen thuộc với chroot

— Karthik T

Điều đó @EliasProbst, cộng với việc thiết lập một nhà tù chroot cho phần mềm không tầm thường có thể là một vấn đề đau đầu. Nó phụ thuộc vào chính xác những gì phần mềm làm và cách thức nó làm. Phần mềm máy chủ thường hoạt động tốt hơn trong các nhà tù chroot so với phần mềm hướng đến người dùng (chạy BIND trong nhà tù chroot không tệ lắm, nhưng tôi sẽ không thử chạy LibreOffice trong nhà tù chroot, chẳng hạn ...)

— CVn

Sử dụng systemd-nspawnhoặc dockerđiều này có thể đạt được thực sự thực sự dễ dàng. Không chrootdựa trên, nhưng dựa trên LXC thay vào đó thậm chí còn an toàn hơn một chút so với một chiếc chroot đơn giản và cung cấp sự cách ly tốt hơn với máy chủ.

— Elias Probst 17/12/13

1

Bản vá nhân linux-vserver và không gian người dùng được liên kết (xem http://linux-vserver.org/ ) cho phép bạn chạy các chương trình trong các thùng chứa riêng biệt của chúng mà không yêu cầu ảo hóa hoàn toàn hệ điều hành khách.

Các thùng chứa linux-vserver có không gian tên gắn kết riêng, không gian tên mạng riêng, bối cảnh bảo mật của riêng họ, v.v.

Lưu ý rằng linux-vserver được thiết kế chủ yếu để chạy các máy chủ; trong khi bạn có thể chạy các ứng dụng máy tính để bàn trong thùng chứa linux-vserver, bạn sẽ cần biết bạn đang làm gì.

Một cách tiếp cận khác là sử dụng AppArmor để hạn chế những gì chương trình của bạn được phép làm.

— András Korn
nguồn