*nix 환경에서 알 수 없는 스크립트와 애플리케이션을 실행하는 가장 빠른 방법은 무엇입니까?
예를 들어, 작업 디렉터리 외부에서 쓰고 읽는 것은 금지됩니다. 또는 하드웨어 및 대부분의 명령에 대한 액세스를 제한합니다.
가상 머신이 가장 유연한 것 같습니다. 새로운 제한된 사용자를 추가하는 것도 또 다른 옵션입니다.
더 좋은 방법이 있나요?
답변1
네임스페이스를 사용하여 시스템의 나머지 부분에서 알 수 없는 프로세스를 격리할 수 있습니다. 보안에 특별히 중점을 두고 이 프로세스를 단순화할 수 있는 도구는 다음과 같습니다.버블 랩(이것은 다음을 사용하여 수행됩니다.예를 들어통과플랫팩).
Fedora 스타일 시스템에서는 다음과 같이 간단합니다.
bwrap --ro-bind /usr /usr --symlink usr/lib64 /lib64 --proc /proc --dev /dev --unshare-pid bash
하지만 문서를 읽어야 합니다.
이 접근 방식은 제한된 사용자를 사용하는 것보다 더 안전하고 가상 머신을 사용하는 것보다 가볍습니다. 이것이 더 나은지 여부는 특정 요구 사항에 따라 다릅니다.