Posted inVirtualization
gVisorのインストールと使い方でコンテナを保護する:独立したKernelでDockerを実行する
gVisorはDockerのサンドボックスランタイムで、コンテナとホストカーネルの間に仮想カーネル(Sentry)を挟むことでContainer Escapeを防ぎます。runscのインストール、Dockerの設定、そしてサンドボックスの動作確認を実際のコマンド例とともに解説します。
Posted inUbuntu
Ubuntuセキュリティ:Firejailでアプリをサンドボックスに「隔離」し、データ流出を防ぐ
GitHubで見つけた正体不明のスクリプトに、SSHキーやパスワードを盗ませてはいけません。Firejailを使えば、Ubuntuアプリを軽量かつ簡単にサンドボックスへ隔離し、安全に実行することができます。