软件简介

NsJail 是一个 Linux 下的进程隔离工具，通过使用命名空间、资源控制和 seccomp-bpf syscall 过滤器子系统实现。

使用场景：

• 安全的网络服务 (例如 web, time, DNS)

• Hosting computer security challenges (so-called CTFs)

• Containing invasive syscall-level OS fuzzers

提供的隔离级别：

1. Linux namespaces: UTS (hostname), MOUNT (chroot), PID (separate PID tree), IPC, NET (separate networking context), USER

2. FS constraints: chroot(), pivot_root(), RO-remounting

3. Resource limits (wall-time/CPU time limits, VM/mem address space limits, etc.)

4. Programmable seccomp-bpf syscall filters

NsJail 并非 Google 官方产品。