Как помещать сторонние приложения в песочницу, когда `sandbox-exec` устарел?
Я заметил, что в новейшей версии MacOS команда sandbox-exec устарела. Согласно его руководству:
The sandbox-exec command is DEPRECATED. Developers who wish to sandbox an app should instead adopt the App Sandbox feature described in the App Sandbox Design Guide. [...]
Более того, несколько команд были удалены, например, sandbox-simplify. Кроме того, кажется, что функция трассировки больше не работает, следующая конфигурация просто больше не выводит вывод (хотя это было в более ранних версиях):
(version 1)
(debug all)
(trace "/tmp/trace.sb")
(deny default)
Мой вопрос: что такое «новый» способ изолирования сторонних приложений? Я не задаю этот вопрос с точки зрения разработчика. Я спрашиваю это как опытный пользователь, который хочет добавить дополнительные ограничения песочницы для приложений, которым я не доверяю.
К сожалению нет :(
Ответы 1
Хотя Apple утверждает, что этот старый стиль песочницы с помощью профилей (иногда называемый «ремнем безопасности») устарел, с 2020 года он по-прежнему широко используется в macOS как Apple, так и сторонними разработчиками. Вы можете найти профили песочницы в различных местах, например:
/System/Library/Sandbox/Profilesдля различных компонентов системы macOS- Профиль обработки содержимого Firefox
- Профиль процесса рендеринга Chrome
Новый подход — это одноименная функция Песочница приложения (подробнее в руководство по дизайну). Эта новая песочница управляется «правами», которые представляют собой различные флаги, которые разработчик приложения может установить как часть подписи кода при создании приложения. Внутри он использует старую систему профилей песочницы, описанную выше, применяя профиль /System/Library/Sandbox/Profiles/application.sb во время запуска приложения. Песочница приложения гораздо более ограничена, чем система с полным профилем, поскольку она опирается только на несколько флажков и списков, которые не могут обеспечить такую же гибкость, как использование профилей напрямую. Насколько мне известно, пользователь не может контролировать эту новую систему, поскольку для этого вам потребуется переупаковать и изменить приложение.
Как пользователь, профили песочницы для sandbox-exec по-прежнему являются вашим основным и единственным вариантом в macOS. Хотя он может считаться устаревшим, не похоже, что он исчезнет в ближайшее время, поскольку он по-прежнему широко используется как в форме профиля, так и в качестве внутреннего уровня для более новой функции «песочницы приложений».
Есть ли место, где можно найти sandbox-simplify, чтобы мы могли легко создавать свои собственные профили?
@JonathanCross А, к сожалению, не уверен в этом, так как я предполагаю, что он недоступен в Apple архив с открытым исходным кодом. Лучшее, что я могу придумать, это скопировать его из более старой версии, но не уверен, будет ли он работать.
Я только что наткнулся на сообщение в блоге в этой теме, часть которой поясняет, что более новая песочница приложения на самом деле работает, загружая профиль, поэтому я отредактировал свой ответ, чтобы прояснить связь между ними.
вы смогли найти ответ на это? Я пытаюсь сделать то же самое, но не могу