嗯!如题,一个简单的基于LSM的沙箱设计.环境是Linux v4.4.28.一个比较新的版本,所以在实现过程中很难找到资料,而且还有各种坑逼,所以大部分的时间都是在看源码,虽然写的很烂,但是感觉收获还是挺大的. 具体思路很简单,每个进程都有对应一个task_struct.可以使用task_struct来对进程的行为进行监测和限制,换句话来说,沙箱是基于进程实现的. 正如官方文档所说的,LSM在Linux关键数据结构中添加了透明的安全域,具体实现应该是这样的 task_struct{ ... vo…