红帽全球峰会第 7 章 使用 Sandbox 保护程序
沙盒 安全工具添加了一组 SELinux 策略,允许系统管理员在严格限制的 SELinux 域中运行应用程序。可以定义对打开新文件或访问网络的权限的限制。这样便可以安全地测试不受信任的软件的处理特征,而不会有损坏系统的风险。
7.1. 使用 Sandbox 运行应用程序
在使用 sandbox 工具前,必须安装 policycoreutils-sandbox 软件包:
~]# yum install policycoreutils-sandbox
限制应用程序的基本语法为:
~]$ sandbox [options] application_under_test
要在 沙盒中 运行图形应用程序,请使用
-X 选项。例如:
~]$ sandbox -X evince
-X 告知 沙盒 为应用程序设置受限的次要 X 服务器(本例中为 evince),在复制所需资源并在 用户的主目录 或 /tmp 目录中创建关闭的虚拟环境。
要保留从一个会话到下一个会话的数据:
~]$ sandbox请注意,-Hsandbox/home-Tsandbox/tmp-Xfirefox
沙盒/home 用于 /home 和 sandbox/tmp 用于 /tmp。不同的应用会放置在不同的受限环境中。应用以全屏模式运行,这会阻止访问其他功能。如前所述,您无法打开或创建文件,除了标记为 sandbox_x_file_t 的文件。
最初,在 沙盒中 也无法访问网络。要允许访问,请使用
sandbox_web_t 标签。例如,启动 Firefox :
~]$ sandbox‑X‑tsandbox_web_t firefox
警告
sandbox_net_t 标签允许不受限制的双向网络访问所有网络端口。sandbox_web_t 仅允许连接到 Web 浏览所需的端口。
使用 sandbox_net_t 应该谨慎,且仅在需要时进行。
如需更多信息,请参阅
sandbox (8) 手册页,以及可用选项的完整列表。
