sandbox -
выполнить
приложение
cmd в
изолированной
среде SELinux
sandbox [-C] [-s] [ -d DPI ] [-l level ] [[-M | -X] -H homedir -T tempdir
] [-I includefile ] [ -W windowmanager ] [ -w windowsize ] [[-i file ]...] [
-t type ] cmd
sandbox [-C] [-s] [ -d DPI ] [-l level ] [[-M | -X] -H homedir -T tempdir
] [-I includefile ] [ -W windowmanager ] [ -w windowsize ] [[-i file ]...] [
-t type ] -S
Выполнить
приложение
cmd в строго
ограниченном
домене SELinux. По
умолчанию
в домене
изолированной
среды
приложения
могут
только
читать и
записывать
stdin, stdout и любые
другие
передаваемые
дескрипторы
файлов.
Открывать
другие
файлы
нельзя.
Параметр -M
позволяет
смонтировать
альтернативные
домашний
каталог и
временный
каталог,
которые
будут
использоваться
изолированной
средой.
Если
установлен
пакет
policycoreutils-sandbox,
можно
использовать
параметр -X и
параметр -M.
sandbox -X
позволяет
запускать
приложения
X в
изолированной
среде. Эти
приложения
запускаются
на своём
собственном
X-сервере и
создают
временные
домашний
каталог и
каталог /tmp.
Политика SELinux
по
умолчанию
не
разрешает
использовать
какие-либо
средства
для
управления
привилегиями
или
осуществлять
доступ к
сети. Она
также
предотвращает
доступ к
другим
процессам
и файлам
пользователей.
Указанные
в команде
файлы,
которые
находятся
в домашнем
каталоге
или
каталоге /tmp,
будут
скопированы
в каталоги
изолированной
среды.
Если
каталоги
указаны с
параметром
-H или -T, их
контекст
будет
изменён
chcon(1)
(если
только с
помощью
параметра -l
не указан
уровень).
Если
уровень
безопасности
MLS/MCS указан,
пользователь
должен
установить
правильные
метки.
-
-h --help
- Показать
сведения
об
использовании
-
-H --homedir
- Указать
альтернативный
домашний
каталог
для
монтирования
вместо
вашего
домашнего
каталога.
По
умолчанию
используется
временный
каталог.
Требуется
-X или -M.
-
-i --include
- Копировать
этот файл в
соответствующий
временный
каталог
изолированной
среды.
Команду
можно
повторять.
-
-I --includefile
- Копировать
все файлы,
перечисленные
во входном
файле (inputfile), в
соответствующие
временные
каталоги
изолированной
среды.
-
-l --level
- Указать
уровень
безопасности
MLS/MCS, с которым
следует
запускать
изолированную
среду. По
умолчанию
используется
случайное
значение.
-
-M --mount
- Создать
изолированную
среду с
временными
файлами
для $HOME и /tmp.
-
-s --shred
- Уничтожить
временные
файлы,
созданные
в $HOME в /tmp, перед
удалением.
-
-t --type
- Использовать
альтернативный
тип
изолированной
среды. По
умолчанию:
sandbox_t или sandbox_x_t для
-X.
Примеры:
sandbox_t - без X, без
доступа к
сети, без
открытия,
чтение/запись
передаются
в
дескрипторах
файлов.
sandbox_min_t - без
доступа к
сети
sandbox_x_t - порты
для
X-приложений,
которые
следует
запустить
локально
sandbox_web_t - порты,
необходимые
для работы
в
Интернете
sandbox_net_t - сетевые
порты (для
серверного
ПО)
sandbox_net_client_t - все
сетевые
порты
-
-T --tmpdir
- Использовать
альтернативный
временный
каталог
для
монтирования
в /tmp. По
умолчанию:
tmpfs.
Требуется
-X или -M.
-
-S --session
- Запустить
полный
сеанс
рабочего
стола.
Требуется
уровень,
домашний
каталог и
временный
каталог.
-
-w --windowsize
- Указать
размер
окна при
создании
изолированной
среды на
основе X. По
умолчанию:
1000x700.
-
-W --windowmanager
- Выбрать
альтернативный
диспетчер
окон для
запуска в
sandbox -X. По
умолчанию:
/usr/bin/openbox.
- -X
- Создать
изолированную
среду на
основе X
для
приложений
графического
интерфейса
пользователя,
временные
файлы для $HOME
и /tmp,
дополнительный
X-сервер. По
умолчанию:
sandbox_x_t
-
-d --dpi
- Указать
значение
разрешения
(DPI) для
X-сервера
изолированной
среды. По
умолчанию
используется
значение
разрешения
текущего
X-сервера.
-
-C --capabilities
- Использовать
средства
для
управления
привилегиями
внутри
изолированной
среды. По
умолчанию
приложениям,
которые
выполняются
в
изолированной
среде,
запрещено
использовать
средства
для
управления
привилегиями
(setuid apps), но с
флагом -C
можно
использовать
программы,
которым
необходимы
средства
для
управления
привилегиями.
- runcon(1), seunshare(8), selinux(8)
Эта
страница
руководства
была
написана
Dan Walsh
<[email protected]> и
Thomas Liu
<[email protected]>.
Перевод на
русский
язык
выполнила
Герасименко
Олеся
<[email protected]>.