MacOS与Linux的unshare对应(2)

Question

MacOS是否与Linux的分摊(2)相对应？

我希望在这两种系统上都出现以下故障。

#define _GNU_SOURCE
#include <stdlib.h>
#include <sched.h>
int main()
{
#if __linux__
    if(0>unshare(CLONE_NEWNET)) return EXIT_FAILURE;
#elif __APPLE__
    /*?*/
#endif
    //this should fail on either system
    if(0!=system("curl www.google.com")) return EXIT_FAILURE;
}

Answer 1

Mac实际上并没有像Linux那样的名称空间，但是如果您想阻止网络，看起来您可以使用sandbox_init()来获得类似的效果。有关说明，请参阅手册页。

有两个内置配置文件似乎支持类似于您描述的用例：kSBXProfileNoInternet，禁止TCP/IP网络；kSBXProfileNoNetwork，禁止所有基于套接字的网络。(虽然后者可能更接近Linux网络命名空间在这里所做的工作，但前者可能足以满足您的需要。)

请注意，这个函数已被记录为不推荐使用，那些希望对应用程序进行沙箱处理的人应该查看App沙箱功能，因此您可能也想看看这个。我不知道App是否会使用相同的机制(从平台#ifdef运行的代码)，这就是为什么我首先建议使用sandbox_init()。