需启用应用沙箱机制:一、麒麟开发者面板创建独立用户模式工作空间;二、sandboxie control通过wine兼容层实现进程隔离;三、系统级应用分身利用命名空间与cgroups隔离;四、pwa沙箱容器以临时目录运行web应用。
如果您希望在麒麟OS中为特定应用创建独立、安全的运行环境,防止其访问主机系统数据或产生不可控行为,则需要启用并配置应用沙箱机制。以下是实现该目标的多种可行方法:
一、启用麒麟开发者面板工作空间
麒麟开发者面板提供类虚拟机级别的项目级沙盒环境,通过用户空间隔离实现应用运行时的数据与系统调用分离,所有操作均不污染宿主系统。
1、打开“开始菜单→系统工具→麒麟开发者面板”,点击右上角“开发者模式”开关启用权限。
2、在主界面点击“创建”,选择“快速创建-基于当前系统”。
3、勾选“独立用户模式”,输入空间名称(如“微信测试沙盒”),点击“确定”。
4、等待初始化完成,在工作空间列表中点击该空间右侧的电源按钮启动环境。
5、启动后,点击“设置”→“应用管理”,选择“从系统导入应用”,定位至/opt/Postman或/usr/bin/wechat等路径添加目标程序。
6、导入完成后,点击沙盒内图标即可运行,其全部数据将严格限定在该空间目录下,路径默认为 /home/sandbox/{空间名}/。
二、使用Sandboxie Control兼容层
Sandboxie Control可在麒麟OS上通过Wine兼容层模拟Windows沙盒行为,适用于需运行Windows版社交软件或未适配Linux原生客户端的场景,提供进程级隔离与文件重定向能力。
1、访问Sandboxie Plus官网下载适用于Linux的AppImage包(如SandboxiePlus-5.105.0-Linux-x86_64.AppImage)。
2、在终端中执行:chmod +x SandboxiePlus-*.AppImage赋予执行权限。
3、双击运行该文件,首次启动时自动创建默认沙盒“DefaultBox”。
4、右键该沙盒→“沙盒设置”→切换至“资源访问”页签,关闭“允许全局钩子”和“允许访问剪贴板”以增强隔离性。
5、返回主界面,右键“DefaultBox”→“运行程序”,浏览并选择需隔离运行的可执行文件(如wine-wechat.exe)。
6、程序启动后所有注册表写入、临时文件及配置均被重定向至沙盒专属目录,宿主系统的~/.wine与/home目录完全不受影响。
三、配置系统级应用分身功能
部分麒麟OS定制版本集成Android兼容子系统,支持通过“应用分身”机制为指定APP创建独立实例,底层采用Linux命名空间(namespaces)与cgroups实现轻量级沙箱隔离。
1、进入“控制中心→隐私→应用分身”,确认开关已开启。
2、在应用列表中找到目标APP(如钉钉、QQ),点击右侧开关启用分身。
3、系统自动生成第二个图标,图标右下角带“2”标识,点击即可启动独立实例。
4、分身应用拥有独立的/data/data/com.alibaba.android.rimet等数据目录,与原始应用的SQLite数据库、SharedPreferences及内部存储物理隔离。
5、如需强制限制网络权限,进入“控制中心→安全→应用权限管理”,单独为分身应用关闭“访问互联网”权限。
四、部署Web应用PWA沙箱容器
对于Web类应用(如腾讯会议网页版、飞书Web),可通过Chrome/奇安信可信浏览器的PWA封装能力构建无持久化存储、无本地文件系统访问权的纯沙箱容器,符合最小权限原则。
1、使用奇安信可信浏览器访问目标网站(如https://meeting.tencent.com)。
2、点击地址栏右侧“安装”按钮,或按Ctrl+Shift+I打开开发者工具→Application→Manifest→Install。
3、安装完成后,在“开始菜单→应用程序→系统工具”中找到新生成的PWA图标。
4、右键该图标→“属性”,在“命令”字段末尾添加参数:--user-data-dir=/tmp/pwa-sandbox-$(date +%s)。
5、保存后每次启动均使用全新临时目录,关闭窗口即销毁全部缓存与IndexedDB数据,无法读取/home或/mnt下的任何文件。
