在unix中创建临时沙箱环境

想知道有什么方法可以为运行命令创建临时沙箱环境吗？在unix中创建临时沙箱环境

我的要求是，我在unix中托管一个web服务，我需要执行一个commanline工具来将输出返回给webservice客户端。因为我将从客户端接收到的值传递给commanline工具，所以我想在沙盒环境中执行这些命令。

2010-12-08 Mahes

http://stackoverflow.com/questions/4249063/how-can-i-run-an-untrusted-c-program-in-a-sandbox-in-linux – ephemient 2010-12-08 23:26:24

我不知道，但是，你可以尝试使用“chroot环境”命令来创建新的“根”环境，例如，

如果您有目录结构，你想“保护” “许可证” 文件，

/ 
/etc 
+ license 
/bin 
+ ls 
/lib 
+ ...

您可以创建一个chroot环境作为

[email protected]:~$ mkdir chroot_example 
[email protected]:~$ cd chroot_example/ 
[email protected]:~/chroot_example$ mkdir -p usr/lib lib bin etc 
[email protected]:~/chroot_example$ cd bin/ 
[email protected]:~/chroot_example/bin$ cp /bin/ls . 
[email protected]:~/chroot_example/bin$ ldd ls 
     libsec.so.1 => /lib/libsec.so.1 
     libnvpair.so.1 =>  /lib/libnvpair.so.1 
     libcmdutils.so.1 =>  /lib/libcmdutils.so.1 
     libcurses.so.1 =>  /lib/libcurses.so.1 
     libc.so.1 =>  /lib/libc.so.1 
     libavl.so.1 => /lib/libavl.so.1 
     libidmap.so.1 =>   /usr/lib/libidmap.so.1 
     libnsl.so.1 => /lib/libnsl.so.1 
     libuutil.so.1 =>   /lib/libuutil.so.1 
     libmp.so.2 => /lib/libmp.so.2 
     libmd.so.1 => /lib/libmd.so.1 
     libm.so.2 =>  /lib/libm.so.2

现在填充 “共享库” 要求的LS命令（使用LDD我们知道这是必要的共享库

[email protected]:~/chroot_example/bin$ ldd ls |awk '{print "cp "$3" lib/"}' 
cp /lib/libsec.so.1 lib/ 
cp /lib/libnvpair.so.1 lib/ 
cp /lib/libcmdutils.so.1 lib/ 
cp /lib/libcurses.so.1 lib/ 
cp /lib/libc.so.1 lib/ 
cp /lib/libavl.so.1 lib/ 
cp /usr/lib/libidmap.so.1 lib/ 
cp /lib/libnsl.so.1 lib/ 
cp /lib/libuutil.so.1 lib/ 
cp /lib/libmp.so.2 lib/ 
cp /lib/libmd.so.1 lib/ 
cp /lib/libm.so.2 lib/

现在我们需要复制到我们的新的 “LIB” 和usr/lib中目录

[email protected]:~/chroot_example/bin$ cd .. 
[email protected]:~/chroot_example$ ldd /bin/ls |awk '{print "cp "$3" lib/"}'|bash 
[email protected]:~/chroot_example$ ls -ltr 
total 9 
drwxr-xr-x 2 itily staff   2 dic 22 14:37 etc 
drwxr-xr-x 2 itily staff   3 dic 22 14:37 bin 
drwxr-xr-x 2 itily staff   14 dic 22 14:38 lib 

[email protected]:~/chroot_example$ cp /usr/lib/libidmap.so.1 usr/lib/ 
[email protected]:~/chroot_example$ cp /usr/lib/ld.so.1 usr/lib/ 
[email protected]:~/chroot_example$ cd lib/ 
[email protected]:~/chroot_example/lib$ ls -l 
total 7615 
-rwxr-xr-x 1 itily staff  14044 dic 22 14:38 libavl.so.1 
-rwxr-xr-x 1 itily staff 1721400 dic 22 14:38 libc.so.1 
-rwxr-xr-x 1 itily staff  26748 dic 22 14:38 libcmdutils.so.1 
-rwxr-xr-x 1 itily staff  293876 dic 22 14:38 libcurses.so.1 
-rwxr-xr-x 1 itily staff  97852 dic 22 14:38 libidmap.so.1 
-rwxr-xr-x 1 itily staff  398704 dic 22 14:38 libm.so.2 
-rwxr-xr-x 1 itily staff  87164 dic 22 14:38 libmd.so.1 
-rwxr-xr-x 1 itily staff  25140 dic 22 14:38 libmp.so.2 
-rwxr-xr-x 1 itily staff  648776 dic 22 14:38 libnsl.so.1 
-rwxr-xr-x 1 itily staff  74776 dic 22 14:38 libnvpair.so.1 
-rwxr-xr-x 1 itily staff  97500 dic 22 14:38 libsec.so.1 
-rwxr-xr-x 1 itily staff  49556 dic 22 14:38 libuutil.so.1 
[email protected]:~/chroot_example/lib$ cd ..

所以，最后的结构是

[email protected]:~/chroot_example$ ls -l 
total 12 
drwxr-xr-x 2 itily staff   3 dic 22 14:37 bin 
drwxr-xr-x 2 itily staff   5 ene 10 20:43 etc 
drwxr-xr-x 2 itily staff   14 ene 10 20:48 lib 
drwxr-xr-x 3 itily staff   3 ene 10 20:40 usr

你还需要这个组，passwd和其他文件

[email protected]:~/chroot_example$ echo "this is a test" > etc/license 
[email protected]:~/chroot_example$ cd etc/ 
[email protected]:~/chroot_example/etc$ cat /etc/group |grep staff > group 
[email protected]:~/chroot_example/etc$ cat /etc/passwd |grep itily > passwd

现在你可以运行的chroot命令，但如果你试图为非root身份运行你会得到错误

[email protected]:~$ chroot chroot_example bin/ls /etc 
chroot: cannot change root directory to chroot_example: Not owner

所以，你需要为root身份运行

[email protected]:~$ pfexec chroot chroot_example /bin/ls -l /etc 
total 6 
-rw-r--r-- 1 101  10   11 Jan 10 19:43 group 
-rw-r--r-- 1 101  10   18 Jan 10 19:42 license 
-rw-r--r-- 1 101  10   49 Jan 10 19:43 passwd

我希望这是你在找什么？

Urko，

来源

2011-01-10 20:01:01 itilys