bubblewrap (bwrap): sandbox processus éphémère

Exécuter une commande isolée (mount/user/net namespaces) avec filesystem minimal.

bash security #bwrap #sandbox #namespace

16 août 2025

objectif

Réduire l’impact d’un outil non fiable sans containers complets.

code minimal

bwrap --dev-bind / / --ro-bind /usr /usr --dir /tmp --unshare-net --proc /proc --chdir / -- bash -lc 'id; ls /; ping -c1 1.1.1.1 || true'

utilisation

# sandbox stricte sans réseau et rootfs readonly
bwrap --ro-bind /usr /usr --proc /proc --tmpfs /tmp --unshare-all -- bash -lc 'echo ok > /tmp/x; ls /tmp'

variante(s) utile(s)

# monter un répertoire de travail en lecture/écriture
bwrap --ro-bind /usr /usr --bind "$(pwd)" /work --chdir /work -- bash

notes

nécessite user namespaces activés.
attention aux permissions de fichiers montés en rw.