第 7 章使用 Sandbox 保护程序

沙盒安全工具添加了一组 SELinux 策略，允许系统管理员在严格限制的 SELinux 域中运行应用程序。可以定义对打开新文件或访问网络的权限的限制。这样便可以安全地测试不受信任的软件的处理特征，而不会有损坏系统的风险。

7.1. 使用 Sandbox 运行应用程序
复制链接

在使用 sandbox 工具前，必须安装 policycoreutils-sandbox 软件包：

yum install policycoreutils-sandbox

~]# yum install policycoreutils-sandbox

Copy to Clipboard

Toggle word wrap

限制应用程序的基本语法为：

sandbox [options] application_under_test

~]$ sandbox [options] application_under_test

Copy to Clipboard

Toggle word wrap

要在沙盒中运行图形应用程序，请使用 -X 选项。例如：

sandbox -X evince

~]$ sandbox -X evince

Copy to Clipboard

Toggle word wrap

-X 告知沙盒为应用程序设置受限的次要 X 服务器（本例中为 evince），在复制所需资源并在 用户的主目录 或 /tmp 目录中创建关闭的虚拟环境。

要保留从一个会话到下一个会话的数据：

sandbox -H sandbox/home -T sandbox/tmp -X firefox

~]$ sandbox -H sandbox/home -T sandbox/tmp -X firefox

Copy to Clipboard

Toggle word wrap

请注意，沙盒/home 用于 /home 和 sandbox/tmp 用于 /tmp。不同的应用会放置在不同的受限环境中。应用以全屏模式运行，这会阻止访问其他功能。如前所述，您无法打开或创建文件，除了标记为 sandbox_x_file_t 的文件。

最初，在 沙盒中 也无法访问网络。要允许访问，请使用 sandbox_web_t 标签。例如，启动 Firefox ：

sandbox ‑X ‑t sandbox_web_t firefox

~]$ sandbox ‑X ‑t sandbox_web_t firefox

Copy to Clipboard

Toggle word wrap

警告

sandbox_net_t 标签允许不受限制的双向网络访问所有网络端口。sandbox_web_t 仅允许连接到 Web 浏览所需的端口。

使用 sandbox_net_t 应该谨慎，且仅在需要时进行。

如需更多信息，请参阅 sandbox (8) 手册页，以及可用选项的完整列表。

返回顶部