chroot
私はMacOSで実行可能ファイルをビルドするために使用するファイルとライブラリをより効果的に制御する方法を望んでいます。理想的にはそれで十分かもしれませんがchroot
(MacOSでも利用可能です)、最初に実行するときにユーザーがrootでなければならないと思っていましたfakechroot
。.)chroot
fakechroot
特に、 のような機能をfakechroot
置き換えるので、私が従いたい方法で見えopen()
、置き換えることでopen()
実行ファイルのために生成する「仮想環境」に対して相当なレベルの制御権を持つことができます。たとえば、chroot
私のパッチは、ツリーopen()
から必要なシステムライブラリをコピーするのではなく、実行可能ファイルが使用したいライブラリにのみアクセスを提供できます。
MacOSでも同様の機能をすでに使用できますか?それとも、私は自分で書く必要がありますか?
答え1
アプリケーションサンドボックスおそらくカーネルで実行され、Appleがサポートしているので、サードパーティのコードを移植するよりも適切です。
各アプリケーションの重要なリソースへのアクセスを制限することによって、アプリケーションサンドボックスは、攻撃者がアプリケーションのセキュリティ脆弱性を正常に悪用した場合、ユーザーデータの盗難、破損、削除、またはシステムハードウェアのハイジャックに対する最後の防御提供できます。たとえば、サンドボックスアプリケーションは、資格を使用して次のいずれかのリソースを使用する意図を明示的に宣言する必要があります。
...
一方、サンドボックスアプリケーションは要求された特定のリソースにアクセスでき、ユーザーが一般的な方法(ドラッグアンドドロップ)で一般的なタスクを実行してサンドボックスを拡張できるようにし、安全と見なされる多くの追加タスクを自動化します。できます。 。