当我绑定文件系统根时它可以工作
~> bwrap --ro-bind / / -- which which
/usr/bin/which
但是当我绑定非 root 时它会失败
~> bwrap --ro-bind /usr /usr -- which which
bwrap: execvp which: No such file or directory
尽管/usr/bin/which是在/usr.
为什么会失败?
有一个不精通技术的用户,她不想学习,只能使用Windows XP或7。问题是,她想使用的计算机是共享的,并且计算机存储了敏感的重要数据。因为她点击了所有东西,所以这就像一个俄罗斯轮盘赌。
我怎样才能将她的帐户与系统的其余部分隔离开来?就像在计算机上有一个配置文件(它现在运行 Windows 7),它将文件和其他东西沙盒化?
我正在考虑使用双引导系统,但这也可能会损害文件或引导扇区(谈到 Windows)。Linux 不是一种方法,因此...请参阅第一行。
有没有这样的软件可以搭建沙盒环境?
我想从网上下载/编译/运行各种 c/c++ 库。这些大多是半生不熟的、晦涩的和/或废弃的项目,其中一些来自可疑的来源。我如何确保它们在安全的“沙盒”类型的环境中运行?我的意思是他们不接触文件系统/网络资源。他们应该只返回我对他们进行的函数调用的值。
最好是适用于 Win/Linux 的解决方案,但至少适用于 Linux
我现在在日常使用中使用 Firefox 而不是 Google Chrome,但是我在一些网站上看到 Firefox 缺乏安全性,同时在隐私方面做得更好,而 Chrome 则相反。Firefox 真的因为没有沙箱而安全性较低吗?我知道它使用 Flash、DRM 等沙箱。我错了,Chrome 中的情况是否相同,因为我找不到关于它的太多信息。我已经在使用 uBlock Origin。“firejail”会成为firefox日常使用的好沙盒吗?
我最近知道了 Sandboxie。这给了我一个想法,我可以将每个程序安装到一个单独的沙箱中。然后我将从他们的沙箱中运行程序。我想,这样,当我删除程序时,它们不会留下任何可能降低计算机速度的注册表或文件残留物。但我不确定这是否会导致比帮助更多的问题。
这样做是个好主意吗?Sandboxie 仅用于运行可疑程序吗?