bubblewrap:无特权的沙箱工具 源码

泡沫包装 许多容器运行时工具,如systemd-nspawn , docker等,专注于提供系统管理员和业务流程工具的基础设施(如Kubernetes)运行容器。 这些工具不适用于非特权用户,因为将此类访问权限转换为主机上具有完全特权的根shell的工作很简单。 用户名称空间 Linux内核中有一种名为,它试图允许非特权用户使用容器功能。 尽管已经取得了很大的进步,但是存在一些,并且在一些生产发行版中,例如CentOS / Red Hat Enterprise Linux 7,Debian Jessie等,非特权用户也无法使用它。 例如,请参阅 ,它是userns引入的本地根漏洞。 还有更多讨论。 Bubblewrap可以看作是用户名称空间子集的setuid实现。 强调子集-与上述CVE特别相关,bubblewrap不允许控制iptables。 原始的bubblewrap代码存在于