文件名称:bubblewrap:无特权的沙箱工具
文件大小:118KB
文件格式:ZIP
更新时间:2024-03-10 21:53:25
linux-containers user-namespaces C
泡沫包装 许多容器运行时工具,如systemd-nspawn , docker等,专注于提供系统管理员和业务流程工具的基础设施(如Kubernetes)运行容器。 这些工具不适用于非特权用户,因为将此类访问权限转换为主机上具有完全特权的根shell的工作很简单。 用户名称空间 Linux内核中有一种名为,它试图允许非特权用户使用容器功能。 尽管已经取得了很大的进步,但是存在一些,并且在一些生产发行版中,例如CentOS / Red Hat Enterprise Linux 7,Debian Jessie等,非特权用户也无法使用它。 例如,请参阅 ,它是userns引入的本地根漏洞。 还有更多讨论。 Bubblewrap可以看作是用户名称空间子集的setuid实现。 强调子集-与上述CVE特别相关,bubblewrap不允许控制iptables。 原始的bubblewrap代码存在于
【文件预览】:
bubblewrap-master
----.travis.yml(438B)
----uncrustify.cfg(4KB)
----CODE-OF-CONDUCT.md(197B)
----.dir-locals.el(63B)
----demos()
--------flatpak.bpf(744B)
--------flatpak-run.sh(3KB)
--------userns-block-fd.py(1011B)
--------bubblewrap-shell.sh(1KB)
----bubblewrap.jpg(39KB)
----network.h(773B)
----bwrap.xml(17KB)
----packaging()
--------bubblewrap.spec(1KB)
----m4()
--------attributes.m4(10KB)
----SECURITY.md(245B)
----tests()
--------test-run.sh(13KB)
--------libtest-core.sh(4KB)
----ci()
--------papr.sh(1KB)
----autogen.sh(356B)
----LICENSE(7B)
----Makefile.am(1KB)
----utils.c(15KB)
----network.c(5KB)
----Makefile-bwrap.am(302B)
----git.mk(11KB)
----bubblewrap.c(89KB)
----uncrustify.sh(102B)
----utils.h(5KB)
----completions()
--------bash()
----.papr.yml(425B)
----bind-mount.c(10KB)
----bind-mount.h(1012B)
----README.md(8KB)
----.editorconfig(104B)
----Makefile-docs.am(471B)
----COPYING(25KB)
----configure.ac(5KB)