Scroll to navigation

SANDBOX(8) Команды пользователя SANDBOX(8)

ИМЯ

sandbox - выполнить приложение cmd в изолированной среде SELinux

ОБЗОР

sandbox [-C] [-s] [ -d DPI ] [-l level ] [[-M | -X] -H homedir -T tempdir ] [-I includefile ] [ -W windowmanager ] [ -w windowsize ] [[-i file ]...] [ -t type ] cmd

sandbox [-C] [-s] [ -d DPI ] [-l level ] [[-M | -X] -H homedir -T tempdir ] [-I includefile ] [ -W windowmanager ] [ -w windowsize ] [[-i file ]...] [ -t type ] -S

ОПИСАНИЕ

Выполнить приложение cmd в строго ограниченном домене SELinux. По умолчанию в домене изолированной среды приложения могут только читать и записывать stdin, stdout и любые другие передаваемые дескрипторы файлов. Открывать другие файлы нельзя. Параметр -M позволяет смонтировать альтернативные домашний каталог и временный каталог, которые будут использоваться изолированной средой.

Если установлен пакет policycoreutils-sandbox, можно использовать параметр -X и параметр -M. sandbox -X позволяет запускать приложения X в изолированной среде. Эти приложения запускаются на своём собственном X-сервере и создают временные домашний каталог и каталог /tmp. Политика SELinux по умолчанию не разрешает использовать какие-либо средства для управления привилегиями или осуществлять доступ к сети. Она также предотвращает доступ к другим процессам и файлам пользователей. Указанные в команде файлы, которые находятся в домашнем каталоге или каталоге /tmp, будут скопированы в каталоги изолированной среды.

Если каталоги указаны с параметром -H или -T, их контекст будет изменён chcon(1) (если только с помощью параметра -l не указан уровень). Если уровень безопасности MLS/MCS указан, пользователь должен установить правильные метки.

Показать сведения об использовании
Указать альтернативный домашний каталог для монтирования вместо вашего домашнего каталога. По умолчанию используется временный каталог. Требуется -X или -M.
Копировать этот файл в соответствующий временный каталог изолированной среды. Команду можно повторять.
Копировать все файлы, перечисленные во входном файле (inputfile), в соответствующие временные каталоги изолированной среды.
Указать уровень безопасности MLS/MCS, с которым следует запускать изолированную среду. По умолчанию используется случайное значение.
Создать изолированную среду с временными файлами для $HOME и /tmp.
Уничтожить временные файлы, созданные в $HOME в /tmp, перед удалением.
Использовать альтернативный тип изолированной среды. По умолчанию: sandbox_t или sandbox_x_t для -X.

Примеры:
sandbox_t - без X, без доступа к сети, без открытия, чтение/запись передаются в дескрипторах файлов.
sandbox_min_t - без доступа к сети
sandbox_x_t - порты для X-приложений, которые следует запустить локально
sandbox_web_t - порты, необходимые для работы в Интернете
sandbox_net_t - сетевые порты (для серверного ПО)
sandbox_net_client_t - все сетевые порты

Использовать альтернативный временный каталог для монтирования в /tmp. По умолчанию: tmpfs. Требуется -X или -M.
Запустить полный сеанс рабочего стола. Требуется уровень, домашний каталог и временный каталог.
Указать размер окна при создании изолированной среды на основе X. По умолчанию: 1000x700.
Выбрать альтернативный диспетчер окон для запуска в sandbox -X. По умолчанию: /usr/bin/openbox.
Создать изолированную среду на основе X для приложений графического интерфейса пользователя, временные файлы для $HOME и /tmp, дополнительный X-сервер. По умолчанию: sandbox_x_t
Указать значение разрешения (DPI) для X-сервера изолированной среды. По умолчанию используется значение разрешения текущего X-сервера.
Использовать средства для управления привилегиями внутри изолированной среды. По умолчанию приложениям, которые выполняются в изолированной среде, запрещено использовать средства для управления привилегиями (setuid apps), но с флагом -C можно использовать программы, которым необходимы средства для управления привилегиями.

СМОТРИТЕ ТАКЖЕ

АВТОРЫ

Эта страница руководства была написана Dan Walsh <dwalsh@redhat.com> и Thomas Liu <tliu@fedoraproject.org>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.

Май 2010 sandbox