NsJail 技术文档

最新推荐文章于 2024-10-18 11:42:42 发布
最新推荐文章于 2024-10-18 11:42:42 发布
阅读量1k 收藏 11
点赞数 20
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_01222/article/details/143043398

NsJail 技术文档

nsjail A lightweight process isolation tool that utilizes Linux namespaces, cgroups, rlimits and seccomp-bpf syscall filters, leveraging the Kafel BPF language for enhanced security. nsjail 项目地址: https://gitcode.com/gh_mirrors/ns/nsjail

概述

NsJail 是一个用于 Linux 的进程隔离工具,利用 Linux 命名空间子系统、资源限制和 seccomp-bpf 系统调用过滤器来实现隔离。它可以帮助用户隔离网络服务、托管计算机安全挑战(CTF)以及包含侵入性系统调用级别的操作系统模糊测试。

安装指南

系统要求

  • Linux 操作系统
  • 支持 Linux 命名空间、seccomp-bpf 和 cgroups

安装步骤

  1. 克隆项目仓库

    git clone https://github.com/google/nsjail.git
cd nsjail

  2. 编译项目

    make

  3. 安装

    sudo make install

项目使用说明

基本使用

NsJail 提供了三种不同的操作模式,分别是:

  1. 网络服务隔离(inetd 风格)
  2. 具有私有克隆接口的隔离(需要 root/setuid)
  3. 本地进程隔离

示例

网络服务隔离(inetd 风格)
./nsjail -Ml --port 9000 --chroot /chroot/ --user 99999 --group 99999 -- /bin/sh -i
具有私有克隆接口的隔离(需要 root/setuid)
sudo ./nsjail --user 9999 --group 9999 --macvlan_iface eth0 --chroot /chroot/ -Mo --macvlan_vs_ip 192.168.0.44 --macvlan_vs_nm 255.255.255.0 --macvlan_vs_gw 192.168.0.1 -- /bin/sh -i
本地进程隔离
./nsjail -Mo --chroot /chroot/ --user 99999 --group 99999 -- /bin/sh -i

项目 API 使用文档

命令行参数

  • -Ml:以 inetd 模式运行
  • --port:指定监听端口
  • --chroot:指定 chroot 目录
  • --user:指定用户 ID
  • --group:指定组 ID
  • --macvlan_iface:指定 macvlan 接口
  • --macvlan_vs_ip:指定虚拟 IP 地址
  • --macvlan_vs_nm:指定网络掩码
  • --macvlan_vs_gw:指定网关地址
  • -Mo:以一次性模式运行
  • -Mr:以重新运行模式运行
  • -R:指定要挂载的目录或文件
  • --keep_caps:保留特权

配置文件

NsJail 使用 ProtoBuf 格式的配置文件来定义详细的隔离参数。配置文件可以包含以下内容:

  • 命名空间配置
  • 文件系统约束
  • 资源限制
  • seccomp-bpf 过滤器
  • 网络接口配置
  • cgroups 配置

项目安装方式

NsJail 可以通过源码编译安装,具体步骤如下:

  1. 克隆项目仓库
  2. 编译项目
  3. 安装到系统
git clone https://github.com/google/nsjail.git
cd nsjail
make
sudo make install

通过以上步骤,您可以成功安装并使用 NsJail 进行进程隔离。

nsjail A lightweight process isolation tool that utilizes Linux namespaces, cgroups, rlimits and seccomp-bpf syscall filters, leveraging the Kafel BPF language for enhanced security. nsjail 项目地址: https://gitcode.com/gh_mirrors/ns/nsjail

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Windmill:开源开发者基础设施的革命者
TechEnthusiast的博客
06-08 298
在企业内部,开发者经常需要构建各种内部工具来支持业务运营、数据分析和系统管理。这些工具通常需要前端界面、后端逻辑和工作流编排,开发过程繁琐且耗时。今天要介绍的Windmill项目,正是为解决这一痛点而生,它让构建内部工具变得简单高效,堪称开发者的得力助手。Windmill作为一个功能强大、易于使用的开源工具,为开发者提供了一种全新的内部工具构建方式。降低开发门槛:让后端开发者也能轻松构建完整的应用提高开发效率:自动UI生成和工作流编排大幅减少开发时间灵活多样:支持多种编程语言和丰富的集成能力安全可控。
ctf_nsjail:基于nsjail的CTF竞赛Docker环境
04-27
因赛题名不同,注意同时更新nsjail.cfg内的exec_bin和rerun.sh内的重启命令。 登录后,在本地监听9999端口,可扣1重启服务。 echo 1 | nc localhost 9999 注意: 因nsjail所需,Docker环境需要--privileged权限,...
NsJail 下载及安装教程
gitblog_01220的博客
10-18 1252
NsJail 下载及安装教程 nsjail A lightweight process isolation tool that utilizes Linux namespaces, cgroups, rlimits and seccomp-bpf syscall filters, leveraging the Kafel...
NsJail 安装和配置指南
gitblog_01221的博客
10-18 1001
NsJail 安装和配置指南 nsjail A lightweight process isolation tool that utilizes Linux namespaces, cgroups, rlimits and seccomp-bpf syscall filters, leveraging the Kafel...
Snekbox:隔离执行Python代码的安全沙箱
gitblog_00001的博客
06-01 1213
Snekbox:隔离执行Python代码的安全沙箱 项目地址:https://gitcode.com/gh_mirrors/sn/snekbox 在编程世界中,安全性和隔离性是至关重要的。Snekbox是一个专为执行隔离的Python代码而设计的开源项目,它利用NsJail和Python进程的组合,为你提供了一个安全的沙箱环境。这个项目不仅允许你远程执行Python代码,还支持内存文件系统,使你可...
【读书笔记】《大型互联网企业安全架构(石祖文)》
热门推荐
weixin_44211968的博客
11-11 1万+
本文对《大型互联网企业安全架构》里的核心内容做了梳理,并加入了深层解释。很适合安全小白入门企业安全。
探索snekbox:安全执行Python代码的神器
gitblog_00985的博客
08-16 665
探索snekbox:安全执行Python代码的神器 snekboxEasy, safe evaluation of arbitrary Python code项目地址:https://gitcode.com/gh_mirrors/sn/snekbox 在软件开发和教育领域,安全地运行第三方或未知来源的代码是一个挑战。为了解决这一难题,我们发现了一个强大的开源工具——snekbox。snekbox...
AI繁荣下的隐忧——Google Tensorflow安全风险剖析
weixin_34194087的博客
03-19 108
本文由云+社区发表 作者:[ Tencent Blade Team ] Cradmin 我们身处一个巨变的时代,各种新技术层出不穷,人工智能作为一个诞生于上世纪50年代的概念,近两年出现井喷式发展,得到各行各业的追捧,这背后来自于各种力量的推动,诸如深度学习算法的突破、硬件计算能力的提升、不断增长的大数据分析需求等。从2017年的迅猛发展,到2018年的持续火爆,国内外各个巨头公司如腾讯...
低代码平台后端适合用什么语言开发?Java、Node、Go 还是 Rust?
weixin_52213728的博客
07-19 1317
本文分析了不同语言下实现低代码平台后端的优缺点,如果你想引进低代码平台做数字化系统,或者从零开发一个低代码平台都可以参考本文。
推荐开源项目:Cozy Cloud
gitblog_00034的博客
05-15 455
推荐开源项目:Cozy Cloud 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 Cozy Cloud 是一个创新的平台,旨在将你的所有网络服务聚合到同一个私密空间。它允许你的Web应用程序和设备轻松共享数据,带来全新的用户体验。你可以选择在自己的硬件上安装Cozy,确保隐私无虞,无人对你进行行为分析。 核心组件——Cozy Stack,是一个单一进程服务器,负责提供...
进程隔离工具NsJail.zip
07-16
NsJail 是一个 Linux 下的进程隔离工具,通过使用命名空间、资源控制和 seccomp-bpf syscall 过滤器子系统实现。使用场景:安全的网络服务 (例如 web, time, DNS)Hosting computer security challenges (so-called ...
nsjail:一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)
02-02
相比之下,nsjail利用了更先进的名称空间技术,提供更全面的环境隔离,包括网络、挂载点、进程ID空间、用户ID空间等。 **seccomp(Secure Computing)** 是一种内核级别的安全特性,用于限制进程可以执行的系统调用...
cpp-NsJail一个Google开源用于Linux的轻量级进程隔离工具
08-16
与容器技术(如Docker)相比,NsJail不需要额外的运行时环境,因此启动更快,占用资源更少。同时,NsJail支持动态配置,可以灵活地控制每个被隔离的进程的权限、资源限制和网络环境。 在实际应用中,NsJail常用于:...
基于nsjail的CTF竞赛Docker环境.zip
01-15
通过参与竞赛,学生不仅能够深入学习相关专业知识,还能够接触到最新的科研成果和技术发展趋势。这有助于拓展学生的学科视野,使其对专业领域有更深刻的理解。在竞赛过程中,学生通常需要解决实际问题,这锻炼了他们...
Mac提升工作效率从Alfred神器开始(下).zip
06-24
Mac提升工作效率从Alfred神器开始(下).zip
很全的综合布线方案复习课程.doc
06-24
很全的综合布线方案复习课程.doc
高中生物必修1-3知识网络图演示教学.doc
最新发布
06-24
高中生物必修1-3知识网络图演示教学.doc
标准计算机专业英文简历范文.doc
06-24
标准计算机专业英文简历范文.doc
Java通过Jsoup解析HTML文件.zip
06-24
Java通过Jsoup解析HTML文件.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

焦如峥Kirstyn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值