Linux-исполняемая песочница?

Я запускаю службу, которая позволяет пользователям отправлять код, который компилируется и выполняется на сервере.

На данный момент я использую Moe, и пока он отлично работает для кода C и C ++, у меня были некоторые странные проблемы с другими языками, такими как Perl и PHP, на 64-битной основе.

Есть ли безопасный способ запуска, возможно, небезопасного кода, который работает на 64-битной основе?

В прошлом у меня был успех с использованием всех видов языков, таких как Perl, Lua и PHP, в 32-битных системах с Moe и моей собственной песочницей на основе ptrace, но ни одна из них не работает отлично на 64-битной основе.

3 Solutions collect form web for “Linux-исполняемая песочница?”

Надлежащая подсистема безопасности, такая как SELinux, позволит вам запускать исполняемый файл с ограниченными возможностями или без него, включая дисковые, сетевые и пользовательские интерфейсы. ulimit позаботится обо всем остальном.

Возможно, вам стоит рассмотреть такие варианты, как:

  • Контрольные группы
  • Seccomp
  • и это модификация seccomp-nurse
  • использование LD_PRELOAD (не очень безопасно, хотя ..)
  • systrace (кажется, заброшено :()
  • плескать
  • SUBTERFUGUE

Они отличаются возможностями и производительностью, поэтому вы должны сделать небольшое исследование, чтобы узнать, что лучше для вашего дела.

Как и выше, SELinux, Tomoyo или AppArmour. Сделайте поиск MAC (Обязательный контроль доступа).

  • Как отслеживать, кто добавил привилегии sudo пользователю
  • Shell Script - как scp на удаленный сервер и загружать файлы и защищать пароль
  • Скрытие зашифрованной папки в общей системе без доступа root (unshare -m)
  • Как гарантируется подлинность пакетов Debian?
  • yum install http - это безопасно?
  • Почему при создании приложения SUID не создается дамп ядра?
  • Частная VLAN под Linux?
  • Настройка ulimit правильно для PHP на Linux
  • RHEL 7 (CentOS 7) security / ssh / sshd_config рекомендует
  • fail2ban ip заблокирован, но все еще попытки входа в систему
  • Как добавить свой собственный созданный центр сертификации в системные доверенные репозитории
  • Причина для хранилищ безопасности в Debian?
  • Linux и Unix - лучшая ОС в мире.