⚡ 编程实验室🏗️ HTML🎨 CSS⚡ JavaScript🐍 Python🗄️ SQL☕ Java⚛️ React💚 Vue🟢 Node.js⚙️ C语言🐘 PHP🐹 Go🔷 TypeScript🐬 MySQL🔧 C++🎯 C#🦀 Rust🅱️ Bootstrap💡 jQuery🎸 Django🍃 MongoDB👗 Sass🎪 Kotlin📊 R语言📋 XML📊 Excel🐘 PostgreSQL🐳 Docker🅰️ Angular🎮 游戏🏠 网站首页
Linux 文件系统导航入门文件与目录的创建、复制、移动与删除文件内容查看与搜索管道与重定向:命令协作的艺术文件权限与所有权管理进程管理与作业控制文本处理三剑客:grep、sed、awk环境变量与 Shell 配置文件归档与压缩:tar、gzip、zip用户与组管理基础Linux systemd 服务管理深入Linux cgroups 控制组Linux Namespaces 命名空间Linux 性能分析工具集Bash Shell 脚本编程编写 systemd Service 文件Linux LVM 逻辑卷管理Linux 防火墙 iptables/nftablesLinux SELinux 强制访问控制网络配置与诊断命令rsync 文件同步Linux Logrotate 日志轮转Linux /proc 文件系统Linux strace 系统调用追踪Linux Capabilities 权限细分Linux eBPF 内核可编程Linux 内核模块Linux journald 日志系统Linux auditd 审计系统Linux tcpdump 网络抓包Shell 脚本入门:变量、条件与循环Linux iptables 防火墙深入Linux cgroups v2 统一层级Linux systemd-resolved DNS 解析文件搜索:find 与 locate磁盘与存储管理软件包管理:apt 与 yumLinux 入门 — 操作系统概述与发行版选择任务调度:cron 与 atLinux 目录结构 — 文件系统层次标准systemd 服务管理Linux 文件管理命令SSH 远程连接与文件传输Linux Vim 编辑器入门Git 版本控制基础Linux 用户与权限管理系统故障排查与日志分析Linux 进程管理用 eBPF 在运行时插入自定义内核探针Linux 软件包管理使用 Landlock LSM 编写零依赖沙箱应用Linux Shell 脚本基础基于 io_uring 的异步文件服务器实现Linux 网络管理命令利用 kprobe 在运行时跟踪调度器函数执行Linux 日志查看与分析用 OverlayFS + 命名空间构建可写容器根文件系统Linux 计划任务 cron通过 sysfs 编写用户态 GPIO LED 驱动程序Linux SSH 远程管理使用 perf_event_open 采集自定义硬件事件并分析Linux 压缩与归档通过 Netlink 套接字实现自定义内核审计日志系统在桌面 Linux 上运行轻量级 Binder IPC 服务编写用户态 OOM 杀手守护进程代替内核 OOM Killer动态内核探针:eBPF Tracepoint 构建实时系统监控容器CPU饥饿控制:CFS 带宽与 cpu.cfs_quota_us 深层解析超越 epoll:io_uring 实现零拷贝异步文件 I/O幽灵漏洞缓解内幕:使用 Kprobe 跟踪 retpoline 调用路径原子级快照:Btrfs 子卷与写时复制实现秒级全量备份事件驱动自动化:systemd path unit 监控文件变化触发任务伪共享狙击手:使用 perf c2c 检测缓存行颠簸自制沙箱:seccomp-bpf 过滤系统调用实现最小权限硬件管理大师:udev 规则永久重命名 USB 设备节点虚拟网络缝合:多网络命名空间通过 veth 对与网桥互通UDEV实战:编写USB设备插入自动加密挂载规则BPFtrace入门:追踪系统调用延迟与进程行为Systemd定时器与控制组:精准限制后台任务的CPU和内存iproute2高级技巧:MPTCP多路径与网络命名空间隔离实战OverlayFS深层剖析:构建自定义容器镜像层与写时复制沙箱auditd深度配置:基于路径与哈希的文件完整性实时监控系统SELinux进阶:为第三方服务编写自定义安全策略模块LVM瘦供给与层级快照:实现秒级回滚与无限快照链GNU Parallel高级模式:无SSH密钥的集群批量管理PAM命名空间模块:为每个SSH用户创建私有/tmp与进程隔离基于eBPF的动态追踪:无需重启内核分析系统性能手工构建容器:用unshare创建隔离的文件系统与PID空间io_uring实战:编写零拷贝异步回显服务器编写SELinux模块:为自定义守护进程强制访问控制深度文件系统TRIM:手工控制discard与fstrim调度策略cgroup v2资源压力:使用PSI指标动态调整容器内存限制利用kexec实现毫秒级内核热替换与崩溃转储PREEMPT_RT实时内核:配置与测试确定性调度延迟Btrfs快照回滚:构建系统级原子更新与恢复系统无显示内核调试:通过printk与自定义串口协议输出调试信息Linux PID 命名空间深度隔离与进程逃逸检测Linux 能力机制:Ambient 集合与继承陷阱Linux vDSO 动态库逆向与系统调用加速原理Seccomp BPF 规则:限制进程只能绑定特定端口io_uring 轮询环:实现零拷贝多路复用文件监听Cgroup v2 IO 延迟控制:精确限制磁盘响应时间eBPF TC 程序与硬件流卸载:将网络过滤下沉到网卡memfd_secret() 系统调用:创建内核不可见的隐藏内存区域XDP 重定向加速:绕过协议栈直接转发到邻居网卡使用 perf probe 动态追踪内核函数调用图与参数用BPF实现零侵入系统调测:动态追踪内核与用户态构建多层存储池:OverlayFS实现冷热数据自动分层自定义系统调用白名单:用Seccomp加固高敏感进程基于路径变化的响应式任务:systemd path unit高级编排零系统调用竞速:用io_uring实现用户态异步磁盘IO内核热修复实战:不重启打补丁升级内核函数向用户态暴露内核数据:编写sysfs属性文件驱动基于PSI的内存/IO压力自动伸缩:cgroups v2资源敏感控制用户命名空间逃逸防御:UID/GID映射与沙箱实现网卡级包过滤:用XDP实现比iptables快10倍的四层防火墙

使用 Landlock LSM 编写零依赖沙箱应用

通过 Landlock 安全模块,在用户空间为任意二进制执行进程创建文件系统白名单与网络访问限制。 · 难度:入门 · +10XP

使用 Landlock LSM 编写零依赖沙箱应用

Landlock 是 Linux 5.13+ 内置的 LSM,允许非特权进程自限制文件系统与网络访问。本教程将编写一个 sandbox 程序,在 fork 并 exec 目标应用前调用 landlock_create_rulesetlandlock_add_rule,使子进程只能读取 /usr 和写入 /tmp,同时阻止所有 socket 创建。无需 Docker 或 Seccomp。

struct landlock_ruleset_attr attr = {
    .handled_access_fs = LANDLOCK_ACCESS_FS_EXECUTE |
                          LANDLOCK_ACCESS_FS_WRITE_FILE |
                          LANDLOCK_ACCESS_FS_READ_FILE,
};
int ruleset_fd = syscall(__NR_landlock_create_ruleset, &attr, sizeof(attr), 0);

// 然后添加路径规则,最后 landlock_restrict_self(ruleset_fd);
execvp(argv[1], &argv[1]);

← 上一节下一节 →
Ctrl+Enter
🚀 升级VIP
解锁全部课程+AI助手

🏆 学习排行

加载中...

📢 推荐

📚 大学视频课程💼 实习招聘🏠 便民信息

🔧 工具

💻 全屏编辑器🔄 重置代码

📊 统计

📖 115 篇
0 完成
🔥 0