OrbStack (Linux Machine 模式)#
虽然它也是个软件,但它的底层技术(基于 macOS 原生轻量级虚拟化框架)让它比 Docker Desktop 甚至 Multipass 都要轻量得多。
- 内存占用:空闲时可能只占 10MB - 30MB(Docker Desktop 动不动就吃 2GB)。
- 启动速度:0.5 秒。
- CPU 占用:几乎为 0。
text
brew install orbstack
创建环境 (打开终端直接输):
text
# 创建一个叫 guarding-test 的 ubuntu 环境
orb create ubuntu guardian-test
进入机器:
text
orb -m guardian-test
安装 x86:
text
orb create -a amd64 ubuntu guardian-x86
orb -m guardian-x86
为了方便开发,OrbStack 默认开启了 文件系统共享 (Bind Mounts)。
- 现象:你在 OrbStack 的 Linux 里,通常可以在
/mnt/mac或者直接在/Users/你的用户名目录下看到你 Mac 里的真实文件。 - 风险:
- 如果你运行的那个脚本是一个恶意软件,并且它执行了
rm -rf /Users/jacin/Documents。 - 你的 Mac 文档真的会被删掉! 因为虚拟机有权限读写你共享进去的文件夹。
- 如果你运行的那个脚本是一个恶意软件,并且它执行了
3. 如何确保绝对安全?#
如果你要在 OrbStack 里跑高风险的未知脚本,建议做一步操作:
不要在 /Users 或 /mnt 目录下运行脚本! 请确保你在 Linux 的 /root 或者 /home/linux_user 这种纯 Linux 内部的目录下运行。
text
# 强制卸载 Mac 的所有挂载点
sudo umount -f -l /mnt/mac
sudo umount -f -l /Users
sudo umount -f -l /Volumes
命令:
text
# 创建开机自动卸载脚本
sudo tee /etc/rc.local <<EOF
#!/bin/sh
umount -l /Users
umount -l /Volumes
umount -l /mnt/mac
exit 0
EOF
# 给权限并立即执行
sudo chmod +x /etc/rc.local
sudo /etc/rc.local
执行完这个,无论重启多少次,它都是绝对安全的孤岛!
设置 分流规则:
注意不能使用 fake-ip 需要 host 模式,否则这个里面都是 内网 ip
评论
还没有评论,来发第一个吧