1 votes

kloucks avatar

Démarrage d'une application qui ne peut pas toucher aux fichiers existants

Demandé el 21 de Novembre, 2010
Quand la question a-t-elle été
152 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une application que je voudrais lancer dans un "environnement visualisé". Je ne veux pas que cette application soit capable d'écrire/lire des fichiers sur mon système de fichiers local. Un bonus serait de pouvoir surveiller tout ce que fait cette application.

L'application est graphique si cela compte.

Puis-je faire cela avec les outils linux existants ? Puis-je émuler ce comportement avec chroot ?

Je ne veux pas faire tourner une virtualbox complète juste pour une application, cela semble être une surcharge.

Merci, Maxim.

Demandé el 21 de Novembre, 2010 par kloucks

Réponses

Trop de publicités?

1voto

David avatar
David Points 344

SELinux vous permettra de lancer l'application dans un domaine restreint, et le sous-système d'audit vous permettra de surveiller ce qu'elle fait.

Répondu el 21 de Novembre, 2010 par David (344 Points )

1voto

SteveCl avatar
SteveCl Points 1655

Vérifiez lxc, Linux Containers. C'est un "meilleur chroot que chroot", comme les conteneurs Solaris ou les jails BSD, également comparable à OpenVZ ou VServer. Le concept de base est d'isoler certaines vues du système d'un processus.

Par exemple, si vous isolez l'arbre PID, le processus démarre un nouvel arbre : il se voit comme PID #1, et les sous-processus ne voient que ce sous-arbre. Les autres processus voient les PID "normaux" comme faisant partie de l'arbre entier.

De même, vous isolez des fichiers par un chroot plus puissant, vous choisissez la quantité de mémoire et de CPU que ces processus peuvent obtenir, les interfaces réseau qu'ils voient (qui peuvent être des interfaces "virtuelles", éventuellement routées ou pontées vers les interfaces réelles).

si vous le souhaitez, le processus de base dans le conteneur peut être init Il peut également s'agir d'une application spécifique, ce qui vous permet de la limiter tout en continuant à travailler sans frais généraux mesurables.

Répondu el 22 de Novembre, 2010 par SteveCl (1655 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X