mkosi-sandbox(1) mkosi-sandbox(1) BEZEICHNUNG mkosi-sandbox - Befehle in einer angepassten Sandbox ausfuhren UBERSICHT mkosi-sandbox [Optionen] Befehl [Argumente] BESCHREIBUNG mkosi-sandbox fuhrt den angegebenen Befehl in einer angepassten Sandbox aus. Diese Sandbox wird durch die Angabe von Befehlszeilenoptionen fur bestimmte Teile der Sandbox konfiguriert. Falls kein Befehl angegeben ist, wird mkosi-sandbox bash(1) in der Sandbox starten. Beachten Sie, dass diese Sandbox nicht als Sicherheitsgrenze entwickelt wurde. Sie ist zur Ausfuhrung von Befehlen in einer isolierten Umgebung gedacht, so dass diese nicht vom Wirtsystem beeinflusst werden. OPTIONEN --tmpfs ZIEL Hangt ein neues Tmpfs unter ZIEL in der Sandbox ein. --dev ZIEL Richtet ein privates /dev unter ZIEL in der Sandbox ein. Dieses private /dev wird nur die grundlegenden Gerateknoten beinhalten, die fur eine funktionierende Sandbox notwendig sind (z.B. /dev/null) und keine tatsachlichen Gerate. --proc ZIEL Hangt /proc des Wirtsystems unter ZIEL in der Sandbox ein. --dir ZIEL Erstellt ein Verzeichnis und alle ubergeordneten Verzeichnisse unter ZIEL in der Sandbox. Alle Verzeichnisse werden mit Modus 755 erstellt, ausser der Pfad endet auf /tmp oder /var/tmp, dann wird es mit Modus 1777 erstellt. --bind QUELLE ZIEL Der Quellpfad QUELLE wird rekursiv unter ZIEL in der Sandbox bind-eingehangt. Der Einhangepunkt wird in der Sandbox erstellt, falls er nicht existiert. Es werden auch alle fehlenden Uberverzeichnisse in der Sandbox erstellt. --bind-try QUELLE ZIEL Ahnlich wie --bind, schlagt aber nicht fehl, wenn der Quellpfad nicht existiert. --ro-bind QUELLE ZIEL Wie --bind, fuhrt aber eine schreibgeschutzte rekursive Bind-Einhangung durch. --ro-bind-try QUELLE ZIEL Wie --bind-try, fuhrt aber eine schreibgeschutzte rekursive Bind-Einhangung durch. --symlink QUELLE ZIEL Erstellt einen Symlink unter ZIEL in der Sandbox, der auf QUELLE zeigt. Falls ZIEL bereits existiert und eine Datei oder ein Symlink ist, wird ein temporarer Symlink erstellt und auf ZIEL eingehangt. --write DATEN ZIEL Schreibt die Zeichenkette aus DATEN an ZIEL in der Sandbox. --overlay-lowerdir VERZ Fugt VERZ vom Wirt als neues unteres Verzeichnis fur die nachste Overlayfs-Einhangung hinzu. --overlay-upperdir VERZ Setzt das obere Verzeichnis fur die nachste Overlayfs-Einhangung auf VERZ vom Wirt. Falls auf tmpfs gesetzt, werden das obere und das Arbeitsverzeichnis Unterverzeichnisse der frischen Tmpfs-Einhangung sein. --overlay-workdir VERZ Setzt das Arbeitsverzeichnis fur die nachste Overlayfs-Einhangung auf VERZ von dem Wirt. --overlay ZIEL Hangt ein neues Overlay-Dateisystem unter ZIEL in die Sandbox ein. Die unteren Verzeichnisse, das obere und das Arbeitsverzeichnis werden mittels der Optionen --overlay-lowerdir, --overlay-upperdir bzw. --overlay-workdir festgelegt. Nachdem jede Option --overlay ausgewertet wurde, werden die anderen Overlay-Optionen zuruckgesetzt. --unsetenv NAME Entfernt eine in der Sandbox gesetzte Umgebungsvariable NAME. --setenv NAME WERT Setzt in der Sandbox die Umgebungsvariable NAME auf WERT. --chdir VERZ Andert das Arbeitsverzeichnis in der Sandbox auf VERZ. --same-dir Andert das Arbeitsverzeichnis in der Sandbox auf das aktuelle Arbeitsverzeichnis, in dem mkosi-sandbox auf dem Wirt aufgerufen wurde. --become-root Bildet den aktuellen Benutzer auf den Benutzer >>root<< in der Sandbox ab. Falls diese Option nicht angegeben ist, wird der aktuelle Benutzer in der Sandbox auf sich selbst abgebildet. Unabhangig von der Angabe dieser Option wird der aktuelle Benutzer einen vollstandigen Satz an Umgebungs-Capabilitys in der Sandbox haben. Dazu gehort CAP_SYS_ADMIN, was bedeutet, dass der aufgerufene Prozess in der Sandbox in der Lage sein wird, Bind-Einhangungen und andere Aktionen durchzufuhren. Falls mkosi-sandbox als Benutzer root aufgerufen wird, macht diese Option nichts. --suppress-chown Durch Angabe dieser Option werden alle Aufrufe von chown() oder ahnliche Systemaufrufe in der Sandbox wirkungslos. Dies ist hauptsachlich fur den Aufruf von Paketverwaltern in der Sandbox nutzlich, da diese versuchen konnten, Dateien mittels chown() auf andere Benutzer oder Gruppen zu andern und dies fehlschlagen konnte, wenn mkosi-sandbox nicht als privilegierter Benutzer aufgerufen wird. --unshare-net Durch Angabe dieser Option trennt mkosi-sandbox wenn moglich einen Netzwerknamensraum ab. --unshare-ipc Durch Angabe dieser Option trennt mkosi-sandbox wenn moglich einen IPC-Namensraum ab. --exec-fd DD Der angegebene DD wird geschlossen, wenn mkosi-sandbox execvp() aufruft. Dies ist nutzlich, damit auf die Beendigung samtlicher Einrichtungslogik gewartet wird, bevor im ubergeordneten Prozess, der mkosi-sandbox aufgerufen hat, fortgefahren wird. --version Zeigt die Paketversion. --help, -h Zeigt einen kurzen Hinweis zum Aufruf. BEISPIELE bash(1) im aktuellen Arbeitsverzeichnis mit seinem eigenen Netzwerknamensraum als aktuellen Benutzer starten: mkosi-sandbox --bind / / --same-dir --unshare-net id(1) als der Benutzer root mit nur /usr vom Hauptsystem sowie den notwendigen Symlinks, um Befehle ausfuhren zu konnen, in der Sandbox ausfuhren: mkosi-sandbox \ --ro-bind /usr /usr \ --symlink usr/bin /bin \ --symlink usr/bin /bin \ --symlink usr/lib /lib \ --symlink usr/lib64 /lib64 \ --symlink usr/sbin /sbin \ --dev /dev \ --proc /proc \ --tmpfs /tmp \ --become-root \ id SIEHE AUCH mkosi(1) UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . mkosi-sandbox(1)