Answers:
您可以在chroot环境中运行应用程序,即/应用程序看到的不是真实的/。您将创建一个完整的新文件系统层次结构,并将--bind所需的所有内容装入()。相关的问题是:你可以挂载真正的~/tmp到/tmp的chroot环境。
chroot您可以使用Linux容器(lxc)或多或少地执行相同的操作,而不使用(这需要超级用户特权)。我不熟悉,lxc但是由于它是主机系统的正常用户流程,因此您无需成为容器中此类配置的超级用户。
chroot需要额外的设置(您要更换的整体/,而不仅仅是/tmp,所以任何访问/etc,/var等等,也将是“监狱”内),并创建了自己的(以下简称“囚禁”节目的安全性的担忧可能能够操纵文件系统的某些部分,如果您在设置假冒时不小心使用权限,通常这些部分是无法访问的/。
/不只限制新内容的编写root,则“坐牢”的用户可以创建或替换似乎位于关键系统位置的文件,例如/etc/passwd; 然后可以将其用于特权升级,而在之外无法进行这种特权升级chroot。传统上chroot用来隐藏文件系统其余部分的许多Linux FTP服务器现在拒绝这样做,前提是该目录可由非root用户写入。
chroot或者lxc有能力做到这一点。知道有一种无需成为超级用户即可完成它的方法也非常令人高兴。