Answers:
您可以在chroot
环境中运行应用程序,即/
应用程序看到的不是真实的/
。您将创建一个完整的新文件系统层次结构,并将--bind
所需的所有内容装入()。相关的问题是:你可以挂载真正的~/tmp
到/tmp
的chroot
环境。
chroot
您可以使用Linux容器(lxc
)或多或少地执行相同的操作,而不使用(这需要超级用户特权)。我不熟悉,lxc
但是由于它是主机系统的正常用户流程,因此您无需成为容器中此类配置的超级用户。
chroot
需要额外的设置(您要更换的整体/
,而不仅仅是/tmp
,所以任何访问/etc
,/var
等等,也将是“监狱”内),并创建了自己的(以下简称“囚禁”节目的安全性的担忧可能能够操纵文件系统的某些部分,如果您在设置假冒时不小心使用权限,通常这些部分是无法访问的/
。
/
不只限制新内容的编写root
,则“坐牢”的用户可以创建或替换似乎位于关键系统位置的文件,例如/etc/passwd
; 然后可以将其用于特权升级,而在之外无法进行这种特权升级chroot
。传统上chroot
用来隐藏文件系统其余部分的许多Linux FTP服务器现在拒绝这样做,前提是该目录可由非root用户写入。
chroot
或者lxc
有能力做到这一点。知道有一种无需成为超级用户即可完成它的方法也非常令人高兴。