Sandbox

沙盒方法

  • December 2, 2013

你知道在哪裡可以找到像這樣的沙盒方法之間的另一個比較嗎?

另外,我想讓你們向我解釋一下為什麼 SELinux 或 Seccomp 沒有包含在該表中。

為什麼 SELinux 或 Seccomp 不包含在該表中

正如該頁面頂部所說,它涉及:

作業系統級虛擬化

$$ … $$作業系統的核心允許多個隔離的使用者空間實例

這不是 SELinux 或 Seccomp 所做的。它們限制了程序在現有使用者空間中可以執行的操作,而不是創建一個單獨的使用者空間供程序在其中執行。 虛擬機也可用於沙盒,它們也不在該列表中,因為雖然它們通常會隔離使用者空間,但它們也會隔離核心空間。因此,虛擬機可以對整個作業系統進行沙箱處理,作業系統級別的虛擬化只是對使用者空間進行沙箱處理,而 SELinux 之類的東西只是對單個程序或使用者進行沙箱處理。

以下是在“單獨的使用者空間”中分離的一些內容:

  • 文件系統:意思是,您無法訪問主機空間中的任何文件。相比之下,SELinux 只是限制可以訪問哪些文件。這樣做的部分意義在於它包括庫、執行檔等。您可以沙箱化應用程序並使用 SELinux 執行它,但在作業系統級別的虛擬化上下文中,您必須首先在容器中安裝和執行應用程序。您不能不從主機作業系統執行任何東西。
  • 網路:意思是,如果您需要訪問網路,則必須在容器內單獨安排該訪問。您不能使用主機作業系統的網路連接。

引用自:https://unix.stackexchange.com/questions/103399