[博客翻译]NsJail:一个轻量级的Linux进程隔离工具
nsjail
一个轻量级的进程隔离工具,利用Linux命名空间和seccomp-bpf系统调用过滤器(借助kafel bpf语言)
查看GitHub
概述
它提供了哪些隔离形式
支持的用例
网络服务的隔离(inetd风格)
访问私有克隆接口的隔离(需要root/setuid权限)
本地进程的隔离
本地进程的隔离(并在必要时重新运行)
使用示例
在最小文件系统中运行Bash,uid==0且仅访问/dev/urandom
在最小文件系统中运行/usr/bin/find(仅从/usr/bin访问/usr...