Mbox沙箱

Mbox是一種輕量級的沙箱機制，它允許任何使用者在沒有特殊權限的條件下運作程式

git clone https://github.com/tsgates/mbox

Mbox沙箱介紹

Mbox引入了一個新奇并可用的沙箱模型，當我們在沙箱中運作一個程式，Mbox會阻止程式對主機檔案系統的修改。Mbox通過一個分層的沙箱檔案系統和ptrace與seccomp/BPF對系統調用的幹預來實作Mbox的功能，在程式運作的最後，使用者可以檢查沙箱檔案系統的變化，并将這些變化選擇性地送出給主機檔案系統。

Debian條件下下載下傳安裝

wget http://pdos.csail.mit.edu/mbox/mbox-latest-amd64.deb

sudo dpkg -i mbox-latest-amd64.deb

在沒有root的條件下安裝軟體包

mbox -R -- apt-get install git #-R: 仿真一個fakeroot環境

安全地運作一個程式

mbox -n -- wget google.com #-n 不允許遠端網絡通路

Checkpointing filesystem

mbox -i -- sh # -i 允許互動模式

建立一個沙箱環境

mbox -r outdir -- make # -r dir:指定沙箱的檔案位址（允許程式運作的位址）

Profile-based sandbox

mbox -p build.prof -- ./configure # -p prof: enable profile-based policy

幫助

mbox -h #help