먼저, 이 게시물에서는 "샌드박스"라는 용어를 사용하여 파일 시스템 변경 사항을 분리하는 것만을 의미합니다. 이러한 방법은 없습니다. 다른 프로세스와 상호 작용하지 않도록 샌드박스에서 프로세스를 격리합니다. 나는 유일한 사용자이므로 신뢰할 수 없는 사용자를 샌드박스에 넣으려고 하지 않습니다. 또한 신뢰할 수 없는 소프트웨어를 실행하고 있지 않습니다.
나는 루트에서 오버레이 파일 시스템을 사용하고 chroot 내부의 모든 것이 샌드박스에 있는 것처럼 느껴지도록 병합된 디렉터리로 chrooting했습니다.
다른 쉘이 다른 스냅샷에 있을 수 있도록 이런 방식으로 btrfs를 사용할 수 있습니까? (즉, 루트 스냅샷을 /sandbox-mnt에 마운트한 다음 여기에 chroot하시겠습니까?)
(저는 이 작업을 수행하더라도 동시성 유형 문제의 위험이 있다는 것을 알고 있습니다. 저는 샌드박스 외부에서 발생하지 않는 일에 대해서만 샌드박스를 만드는 것에 대해 매우 엄격합니다.)
시딩 기능을 이용하면 이런 것도 가능한 것 같은데요?
답변1
모든 btrfs 하위 볼륨과 마찬가지로 스냅샷에도 경로가 있습니다. 상위 및 하위 볼륨을 마운트하면 모두 보고 상호 작용할 수 있습니다. 따라서 chroot다양한 스냅샷을 원하는 만큼 쉽게 생성할 수 있습니다.