firejail

Firejail 是一个轻量级的安全工具，旨在通过为应用程序设置受限环境来保护 Linux 系统。它利用 Linux 命名空间、seccomp-bpf 和 Linux 能力等技术，使得进程及其后代拥有独立的全局共享内核资源视图，如网络栈、进程表和挂载表，从而降低安全漏洞风险。该项目几乎不依赖外部库，用 C 语言编写，支持在任何安装了 3.x 或更新版本内核的 Linux 计算机上运行。Firejail 可以用于沙盒化各种类型的服务或应用，包括服务器、图形界面程序乃至用户登录会话，并且针对一些常见的 Linux 应用程序（例如 Firefox、Chromium）提供了预设的沙盒配置文件。由于其直接基于 Linux 内核实现所有安全特性，因此具有较低的性能开销和简单的使用方式，非常适合需要增强安全性而又不想增加系统复杂性的场景。