{Bubblewrap}:基于 Namespaces 的开源 Linux 沙盒工具,灵活、轻量、低级非特权
︹
馆长注:
1. 运行不信任的代码永远存在风险,沙盒并不能改变这一事实。
2. 该工具本身不提供开箱即用的配置,更多是作为辅助后端。如果一定要直接使用,则需要对 Linux 文件目录结构与 shell 命令行操作有足够的了解。
3. 虽然该项目名为 Bubblewrap,但其实际命令名称为 bwrap,这适用于大多数 Linux 发行版。
4. 该工具创建的沙盒为“一次性沙盒”,沙盒关闭时,内部临时数据会被立刻删除。沙盒配置只能通过命令行参数设定,启动后无法改变。
︺
Bubblewrap 是一个适用于 Linux 的开源低级非特权沙盒工具,其工作原理是创建一个完全空白的新文件系统命名空间(Namespaces),根文件系统位于对主机不可见的 tmpfs 上,当最后一个进程退出时将被自动清理。
特性如下:
- 轻量级,安装后占用空间小,所需资源少。
- 创建沙盒无需特权、无需守护进程。
- 支持 cgroup/IPC/mount/network/PID/user/UTS 命名空间。
- 支持 seccomp 过滤。
- 沙盒内无任何 capabilities,子任务不能获得比父任务更高的权限。
- 缺乏对文件路径黑名单/白名单的明确支持。
集成或基于 Bubblewrap 的部分项目:
版本:0.11.0
关注:GitHub 4k+ stars
状态:正常维护
语言:不支持中文
网络:无联网功能
资费:免费
平台:linux
> 安装:GitHub Releases;Repology
> 指南:ArchWiki;Debian Manpages;依云’s Blog
> 副本:FU102;TG101;Appinn
> 档案:A_20250128_001
#:1_开源项目 #2_开源工具收集
#:#A_收集 #B_整理 #C_引述 #D_开源 #D_工具 #E_中文
%:2025年1月28日(UTC+8)