覆盖根上的监狱/沙箱进程并跟踪更改

Question

我正在努力实现的

我希望以非特权用户的身份运行进程，但该进程更改的所有文件只应在阴影文件夹中更改。此外，如果需要的话，我想禁用网络功能。

我已经尝试过的

• 使用lowerdir /和upperdir /temp/fakeroot，unshare -rn，chroot /temp/overlay 安装覆盖
  • 问题:挂载需要根目录，覆盖忽略嵌套挂载(我的主目录)

• unshare -rmn，挂载低/和上位/temp/fakeroot 的覆盖
  • 问题:尝试挂载时出错，因为/tmp是/的子文件夹

• fuse-overlayfs，unshare -rn，chroot
  • 问题:只能在内核> 5.16上工作，可以读取嵌套挂载，但不能写入
  • 注意:我可以接受内核的限制，但是嵌套的挂载使得它无法使用。

我知道存在的

替代方案，但似乎没有前途的

• Overlayroot:需要在启动时挂载，而不存储更改增量
• overlayroot-chroot：基于以上。
• 用于将所有文件系统合并为一个文件系统的mergefs :无法看到这将如何完成
• 使用Docker:需要根用户，不存储更改增量

有人知道怎么做吗？

Answer 1

我找到了一种将上述多个命令结合在一起的解决方案。

1. mkdir -p /tmp/overlay-test/{upper,workdir,mount}
2. unshare -- map-root-user --net --mount或短unshare -rnm
3. mount.mergerfs / /tmp/overlay-test/view -o use_ino,posix_acl=true (选项是可选的)
4. mount -t overlay overlay -o lowerdir=/tmp/overlay-test/view,upperdir=/tmp/overlay-test/upper,workdir=/tmp/overlay-test/workdir /tmp/overlay-test/mount
5. mount --rbind /dev /tmp/overlay-test/mount/dev和mount --rbind /proc /tmp/overlay-test/mount/proc
6. chroot /tmp/overlay-test/mount /bin/bash

一般的想法是使用unshare来创建一个环境，用户(而不是根用户)可以在其中挂载文件系统。在此之后，mergerfs用于将所有的子挂载(就像许多发行版中的home )合并到一个文件夹中。这个单独的文件夹可以作为覆盖层的较低的值。为了执行命令，需要将dev和proc映射到覆盖文件夹中。这是好的，因为这些文件夹是不可写的用户无论如何。最后但并非最不重要的一点是，可以执行chroot以切换到覆盖-合并-rootfs。在那里所做的所有更改只做了一个upper目录。完成后，不要忘记卸下所有的坐骑进行清理。