oniux

一个小型命令行工具，利用 Linux 命名空间为第三方应用程序提供 Tor 网络隔离。基于 Arti 和 onionmasq 构建，oniux 将任何 Linux 程序放入独立的网络命名空间中，通过 Tor 路由流量，并消除数据泄露的可能性。若你的工作、活动或研究需要可靠的流量隔离，oniux 即可满足需求。

内部工作机制： oniux 通过立即使用 clone(2) 系统调用创建一个子进程，该进程在独立的网络、挂载、PID 和用户命名空间中运行。此进程随后挂载自身的 /proc 目录，并设置 UID 和 GID 映射，对应于父进程的 UID 和 GID。
接着，它创建一个包含名称服务器条目的临时文件，并将其绑定挂载到 /etc/resolv.conf，使命名空间内运行的应用程序使用 onionmasq 自有的 DNS 解析器。然后，子进程创建名为 onion0 的 TUN 接口，并执行必要的 rtnetlink(7) 操作以配置接口，如分配 IP 地址。随后，子进程通过 Unix 域套接字将 TUN 接口的文件描述符发送给父进程——父进程自 clone(2) 执行后便一直在等待此消息。完成发送后，子进程将丢弃其在用户命名空间中作为 root 进程所获得的所有能力。最后，使用 Rust 标准库提供的功能执行用户指定的命令。