Linux沙箱，显示已经创建或修改了哪些文件

Question

我使用Gentoo Linux。我需要找出在根下载下运行的程序，以及它将下载的文件放在哪里。我也希望有一个沙箱测试程序从不可靠的来源。

特别是，在安装hplip驱动程序时，它会通过网络下载插件。我想知道它下载的文件以及它在环境中所做的更改。

请为Linux提供一个沙箱程序，以便

1. 它将允许您在虚拟环境中运行程序。
2. 它将使用当前的系统配置，即在沙箱中运行的程序与在沙箱之外运行的程序相同。
3. 它将显示添加或更改了哪些文件。
4. 它将允许您在必要时批准或拒绝更改。就像svn中的提交。
5. 与VirtualBox和Vmware不同，因为它们不符合点2-4。

我试过使用firejail，但它不包含第3点和第4点。我也尝试使用沙箱，它同样未能实现第3点和第4点。strace帮助您跟踪所有已创建和修改的文件，但不幸的是，它不允许您回滚更改。

一般来说，mbox程序最能满足的要求是https://pdos.csail.mit.edu/archive/mbox/。但不幸的是，它不在Gentoo存储库中。至少我找不到了。

Answer 1

1. 它将允许您在虚拟环境中运行程序。
2. 它将使用当前的系统配置，即在沙箱中运行的程序与在沙箱之外运行的程序相同。
3. 它将显示添加或更改了哪些文件。

您要描述的是使用只读根目录实现的，以及可以在以后检查的覆盖。或者，更简单的是，将rootfs放在btrfs或ZFS上，或者放在瘦LVM池上的文件系统上，然后在安装可疑软件之前进行快照。然后，您可以在稍后挂载快照，并将其与实际根的状态进行比较。

然而，在隔离方面，更明智的做法是在容器中运行您的软件。这些东西实际上是用来支持“不变”的基本图像，上面有变化--因此，只看变化就很容易了。

1. 它将允许您在必要时批准或拒绝更改。就像svn中的提交。

SVN，老学校！当然，您可以有选择地将更改后的文件从覆盖区复制到永久存储区。如果您使用的是文件系统快照，那么rsync --delete可以很好地选择性地恢复以前的状态。