Bubblewrap 是一個Flatpak 和類似項目使用的低級非特權沙箱工具。
bubblewrap 是一個構建沙箱環境的工具。 bubblewrap 不是一個完整的、具有特定安全策略的現成沙箱。
bubblewrap 的一些用例需要沙箱和真實係統之間的安全邊界;其他用例希望能夠更改沙箱內進程的文件系統佈局,但並不旨在成為安全邊界。因此,沙箱進程和主機系統之間的保護級別完全由傳遞給bubblewrap 的參數決定。
無論哪個程序為bubblewrap 構造命令行參數(通常是較大的框架,如Flatpak、libgnome-desktop、sandwine 或臨時腳本),都負責定義自己的安全模型,並選擇適當的bubblewrap 命令行參數來實現該模型安全模型。
bubblewrap 在大多數Linux 發行版的軟件包存儲庫中都可用。
bubblewrap 的工作原理是創建一個新的、完全空的掛載命名空間,其中 root 位於主機上不可見的tmpfs 上,並且當最後一個進程退出時將自動清理。然後,你可以使用命令行選項構建根文件系統和進程環境以及在命名空間中運行的命令。
源代碼中有一個更大的演示腳本,但這裡有一個精簡版本,它運行一個新的shell,重用主機的/usr
bwrap \
--ro-bind /usr /usr \
--symlink usr/lib64 /lib64 \
--proc /proc \
--dev /dev \
--unshare-pid \
--new-session \
bash這是一個不完整的示例,但對於說明目的很有用。
#Bubblewrap首頁文檔和下載 #Flatpak #使用的低級非特權沙箱工具 #科技資訊