我可以限制某个进程对某些文件的访问吗？

发布于 2024-10-08 19:20:30 字数 210 浏览 0 评论 0原文

是否可以在 Linux 中启动一个进程，并限制其对某些文件/目录的访问？例如：

$ start-process --enable-dir=./sandbox --exec="some-script.sh"

some-script.sh 将无法在 ./sandbox 之外执行任何操作。

Is it possible to start a process in Linux, and restrict its access to certain files/directories? For example:

$ start-process --enable-dir=./sandbox --exec="some-script.sh"

some-script.sh won't be able to do anything outside of ./sandbox.

需要登录才能够评论，你可以免费注册一个本站的账号。

迷离° 2024-10-15 19:20:30

您可以使用 chroot 设置进程树的根目录。然而，这意味着该进程的所有依赖项必须在其新根中可用。

有许多软件包可以帮助您根据需要设置 chroot 环境。 Google 是你的朋友;)

关于构建 chroot 环境的一些提示

在为某些程序或守护程序构建 chroot 时，你必须为要 chroot 的程序拥有一个完整的环境。这意味着您必须在目录中提供最小系统。它可能包含：

一个 shell 和一些 shell 实用程序，或者 busybox 的变体。（如果您不打算部署一个静态可执行文件，这也包含下一步）。
Libc 和其他依赖的共享库。
- 您需要使用 ldd 或 objdump 检查共享库依赖关系。出现的每个库都必须位于您的私有根目录中。对于您需要的每个可执行文件和库，此步骤可能会重复多次。请注意，某些在运行时使用 dlopen 显式链接的库需要单独进行检查。
根据您计划chroot 最小的/dev 树。
- 如果您计划 chroot 守护进程，则很可能需要 /dev 中的一些最小文件，例如 random 或 zero。您可以使用 mknod 命令创建它们。请参阅 mknod 文档，如下以及有关设备应具有哪些主要/次要编号的 Linux 文档 .
另外，取决于您计划chroot是一个最小的/etc。其中需要的文件有：
- 最小的密码和影子（不是您的系统密码/影子）。
- 包含 / 的最小 mtab。
- 最小组（同样，不是您的系统组文件）。