sandbox介绍

概述

沙箱是什么？

　　沙箱（sandboxie），也叫沙盘，和军事上的意义相似，所有在沙箱中运行的程序都是模拟演习，并不是真刀真枪。沙箱的工作原理是：将程序运行在一个隔离的空间内，且在沙箱中运行的程序可读不可写，从而避免程序对电脑的其它程序和数据造成永久性的修改或造成破坏。官方用一个很形象的比喻说明了沙箱的原理：你的电脑是一张纸，程序的运行与改动就是在纸上写字。而沙箱相当于放在纸上的一块玻璃，程序的运行与改动只能写在那块玻璃上，而纸还是干干净净的。

沙箱的安全防护

　　在沙箱中运行任意程序

　　安防软件对木马病毒及恶意软件的查杀一般是基于病毒库的比对，因此会存在无效查杀拦截失败的情况。沙箱就很好地弥补了杀毒软件的不足。沙箱类似于影子系统，所有在沙盘内的操作都是虚拟构建的，与《奇异博士》里面的镜像空间如出一辙。不明程序让它在沙箱内运行，程序无权修改沙盘外的程序及系统设置，保障了系统不会遭到恶意软件及病毒的篡改和入侵。

　　在沙箱中运行网络浏览器

　　网页浏览是我们电脑使用时最经常的操作，而浏览器也是木马病毒入侵的一个重要路径。为了保障上网安全，沙箱单独设置了沙盘中运行浏览器的功能，把浏览器部署在沙箱中，可让你一切的网页浏览都处于隔离状态，浏览产生的内容（缓存、插件、下载等）都只局限在沙箱中。如果发现木马，只需要把当前使用的沙箱删除即可，控制有效，省力省心。

secure computing mode

• Seccomp restrict

• Seccomp filter

• 使用prctl设置sandbox

• 使用seccomp.h设置sandbox

• 使用libseccomp设置sandbox

SECCOMP_SET_MODE_STRICT

• 白名单：read，write，_exit，sigreturn

• 除了已经打开的文件描述和允许的系统调用

  • 如果发起其他系统调用，

    • 内核会使用SIGKILL或SIGSYS

SECCOMP_SET_MODE_FILTER

• Seccomp-Berkley Packer Filter BPF过滤规则

• 允许用户可使用配置的策略过滤系统调用

• 使用BPF规则自定义测量

• 可对任意系统调用及其参数进行过滤