*nix環境で未知のスクリプトとアプリケーションを実行する最速の方法は何ですか?
たとえば、作業ディレクトリの外部からの書き込みおよび読み込みは禁止されます。または、ハードウェアとほとんどのコマンドへのアクセスを制限します。
仮想マシンが最も柔軟なようです。新しい制限付きユーザーを追加することも別のオプションです。
もっと良い方法がありますか?
ベストアンサー1
名前空間を使用して、システムの残りの部分から未知のプロセスを分離できます。セキュリティに特に重点を置いてこのプロセスを簡素化するためのツールは次のとおりです。バブルラップ(これは以下を使用して行われます。例えば渡すフラットパック)。
Fedoraスタイルのシステムでは、次のように簡単です。
bwrap --ro-bind /usr /usr --symlink usr/lib64 /lib64 --proc /proc --dev /dev --unshare-pid bash
しかし、文書を読んでください。
このアプローチは、制限されたユーザーを使用するよりも安全で、仮想マシンを使用するよりも軽量です。これがより良いかどうかは、特定の要件によって異なります。