生活小妙招：巧用namespace隔离不听话的app

水木社区手机版

主题:生活小妙招：巧用namespace隔离不听话的app
楼主|tgfbeta|2022-07-12 14:18:52|展开
比如某云同步的办公软件：

首先确定已经杀死了后台：
killall 达不溜匹艾斯克劳德瑟卫斯

然后，创建一个空白没有任何网络接口的namespace, 名字，就叫LOCALONLY吧

sudo ip netns add LOCALONLY

然后运行办公软件

sudo ip netns exec LOCALONLY sudo -u 当前用户 /usr/bin/达不溜匹艾斯

这下连账号都登不上去了。
--
FROM 218.69.75.*
6楼|tgfbeta|2022-07-18 09:52:13|展开
又查了一下文档，好像unshare也可以，但是好像逃不掉sudo
不用root权限不能创建网络namespace？
【在 JulyClyde 的大作中提到: 】
: 高版本的systemd自带网络控制功能
: 省略了手工创建这个步骤
--
FROM 218.67.252.*
11楼|tgfbeta|2022-07-18 13:46:49|展开
拔网线罪
【在 littleSram 的大作中提到: 】
: 自己电脑也算破坏吗？
--
FROM 218.67.252.*
13楼|tgfbeta|2022-07-18 15:53:27|展开
我想用ip netns exec命令和unshare命令，但是涉及namespace的情况下需要root权限
然后如果用了root权限，在执行目标进程时候还要包一层sudo来找回一开始的uid来限制权限
【在 JulyClyde 的大作中提到: 】
: 没明白你的意思呢
: 详细说说
--
修改:tgfbeta FROM 218.67.252.*
FROM 218.67.252.*
16楼|tgfbeta|2022-07-19 12:28:54|展开
人活着就难免天天踩屎，c'est la vie
【在 eskimo1024 的大作中提到: 】
: 开玩笑吧，别当真
--
修改:tgfbeta FROM 60.24.248.*
FROM 60.24.248.*
19楼|tgfbeta|2022-07-20 08:59:47|展开
可能是把namespaes的api包装了一下的命令吧
【在 JulyClyde 的大作中提到: 】
: 哦。我还不知道unshare是啥呢……
--
FROM 218.67.252.*
21楼|tgfbeta|2022-07-20 12:40:09|展开
mac下可以试试sandbox-exec命令，不过要写一串profile
【在 chunhui 的大作中提到: 】
: mac下这样也可以么？windows下有没有这样的小妙招
--
修改:tgfbeta FROM 218.67.252.*
FROM 218.67.252.*
26楼|tgfbeta|2022-07-20 17:14:08|展开
但是Windows的sandbox好像是动用了hyper-v虚拟化
【在 raelag 的大作中提到: 】
: sandbox
: windows 10 自带组件
--
FROM 218.67.252.*
30楼|tgfbeta|2022-07-21 13:24:48|展开
别装这种扶贫版
【在 chunhui 的大作中提到: 】
: 这个咋弄？windows家庭版不行吧？
--
FROM 218.67.252.*