Chromium的沙盒Sandbox

代码位置：

http://src.chromium.org/viewvc/chrome/trunk/src/sandbox/

Android使用和Linux一样的代码。http://src.chromium.org/viewvc/chrome/trunk/src/sandbox/linux/

1.设计目的/目标

纯粹地为了安全。

sandbox本身就意味着程序要使用多进程架构。做到安全的方法就是让可能不安全的代码在被剥夺了部分权限的sandboxed进程（非主进程）上跑，原则上在sandboxed进程中能利用的资源只有CPU和内存。

所以sandbox虽然和进程紧密相关，但sandbox的核心功能和大部分代码是关于降低权限，多进程只是其前提。sandbox和SandboxedProcess应该区分来理解。

2.特点

1. Sandbox目录下的代码是独立的（依赖base目录少部分文件），可以供其它项目使用
2. 利用操作系统提供的特性来控制进程的权限，如不允许读写文件系统（框架有提供API可以开放指定文件的读写权限）。Linux下有两个级别的sandbox，Setuid sandbox（限制大部分资源的访问权限）和Seccomp-BPF（限制影响到系统内核的资源访问）。
3. sandbox进程可以通过IPC跟外部通信。
4. Chromium中对Renderer进程进行sandbox，是期望对WebKit输入数据就得到输出渲染好的图，过程中的网络和文件读写操作通过IPC由Browser进程处理。部分插件也运行在独立的sandboxed进程，它崩溃掉并不影响浏览器进程，如Flash。

3.使用方法

参考 src/content/common/sandbox_linux/sandbox_init_linux.cc：

bool InitializeSandbox(scoped_ptr policy) {
  return SandboxSeccompBPF::StartSandboxWithExternalPolicy(policy.Pass());
}

 

参考链接：

http://www.chromium.org/developers/design-documents/sandbox

http://www.chromium.org/developers/design-documents/sandbox/Sandbox-FAQ

https://code.google.com/p/chromium/wiki/LinuxSandboxing

http://dev.chromium.org/developers/design-documents/process-models#TOC-Sandboxes-and-plug-ins