Linux-исполняемая песочница?

Я запускаю службу, которая позволяет пользователям отправлять код, который компилируется и выполняется на сервере.

На данный момент я использую Moe, и пока он отлично работает для кода C и C ++, у меня были некоторые странные проблемы с другими языками, такими как Perl и PHP, на 64-битной основе.

Есть ли безопасный способ запуска, возможно, небезопасного кода, который работает на 64-битной основе?

В прошлом у меня был успех с использованием всех видов языков, таких как Perl, Lua и PHP, в 32-битных системах с Moe и моей собственной песочницей на основе ptrace, но ни одна из них не работает отлично на 64-битной основе.

  • Безопасность возможностей против setuid (LD_PRELOAD и т. Д.)
  • Управление iptables для конкретных ips и портов
  • Каков наилучший способ форматирования жесткого диска в Linux, чтобы не оставлять следов?
  • Может ли кто-нибудь привести пример, почему я хотел бы вызвать панику ядра с помощью auditd?
  • У стабильной версии Debian есть уязвимая версия wpa_supplicant?
  • Iptables: защита Linux-системы путем ограничения всего трафика на один статический IP-адрес и loopback с использованием Iptables
  • Невозможно отключить TLSv1 и RC4-SHA
  • Правило переопределения Privoxy для Википедии
  • 3 Solutions collect form web for “Linux-исполняемая песочница?”

    Надлежащая подсистема безопасности, такая как SELinux, позволит вам запускать исполняемый файл с ограниченными возможностями или без него, включая дисковые, сетевые и пользовательские интерфейсы. ulimit позаботится обо всем остальном.

    Возможно, вам стоит рассмотреть такие варианты, как:

    • Контрольные группы
    • Seccomp
    • и это модификация seccomp-nurse
    • использование LD_PRELOAD (не очень безопасно, хотя ..)
    • systrace (кажется, заброшено :()
    • плескать
    • SUBTERFUGUE

    Они отличаются возможностями и производительностью, поэтому вы должны сделать небольшое исследование, чтобы узнать, что лучше для вашего дела.

    Как и выше, SELinux, Tomoyo или AppArmour. Сделайте поиск MAC (Обязательный контроль доступа).

    Interesting Posts

    Имена пользователей и хостов в открытом ключе по идентификатору ssh-copy-id

    Неплохо ли порт пересылать порт 443 для ssh?

    Имеет ли параметр порядок значение с tar?

    каковы методы безопасного извлечения файлов?

    Команды / скрипт Bash для удаления строки из CSV с дубликатом в столбце

    Как объединить два командных вывода по строкам?

    Я приобрел у Amazon предустановленный, используемый, Asus Mini Notebook. Я нажал кнопку питания во время установки обновлений.

    SIOCSIFADDR: Файл существует после обновления ядра

    Как я могу запустить сценарий, когда определенный порт становится доступным для запросов?

    логин с использованием последовательного порта в Linux

    Двойной экран с разрешением более 1680 пикселей в Fedora 14

    Как изменить, какая версия Qt используется для qmake?

    как работает команда времени

    Centos 7: / dev / md / root вместо / dev / md0

    Используйте команду sed для поиска текстового файла для записей 10000 и под

    Linux и Unix - лучшая ОС в мире.