新しいプロセス(信頼できないコード)が生成されないように新しいプロセスを開始できますか?
また、通常、ファイルやすべてのデバイスに対して入出力を実行できないようにプロセスを開始するにはどうすればよいですか?
ベストアンサー1
これは職業だと思います。必須アクセス制御システムのようにSELinuxまたは鎧を適用。
SELinuxに関するこの記事そのようなシステムの力とそのような政策を開発するために必要なツールを紹介します。
すべてのファイルへのアクセスを制限したい場合は、逆効果を生み出すことができます。 Unixでは「すべてがファイル」なので、すべてのファイルアクセスを完全にブロックしてもプログラムは起動しません。より効率的なアプローチは、ファイルの書き込みを完全にまたは特定のディレクトリに限定し、プログラムが合法的に読み取ることができるファイルカテゴリをホワイトリストに追加することです。
別のオプションは、次のものを使用することです。chrootまたは刑務所。これらのオペレーティングシステム機能を使用すると、ファイルI / Oまたはプログラムの実行をブロックする必要はありません。信頼できないプログラムで重要な内容を読み書きできる、実行できない制限された環境を簡単に構築できます。あなたのプログラムは「箱」に入れたファイルでのみ動作することができます。