Linux実行可能サンドボックス?
サーバー上でコンパイルおよび実行されるコードをユーザーが送信できるようにするサービスを実行しています。
現時点では Moe を使用しており、CおよびC++コードでは正常に機能しますが、PerlやPHP)などの他の言語で奇妙な問題が発生しています。 = 64ビット上。
64ビットで正しく動作する安全でない可能性のあるコードを実行する安全な方法はありますか?
私は過去にMoeと私自身のptraceベースのサンドボックスの両方を使用して32ビットシステムでPerl、Lua、PHPなどのあらゆる種類の言語を実行することに成功しましたが、どちらも64ビットでは完全に機能しません。
SELinuxなどの適切なセキュリティサブシステムを使用すると、ディスク、ネットワーク、UI機能などの機能が制限されているかまったくない実行可能ファイルを実行できます。残りはulimitが処理します。
たぶんあなたは次のようなオプションを検討する必要があります:
- コントロールグループ
- seccomp
- そしてそれは修正です seccomp-nurse
- LD_PRELOAD の使用法(ただし、あまり安全ではありません。)
- systrace (放棄されたようです:()
- プラッシュ
- [〜#〜] subterfugue [〜#〜]
それらは機能とパフォーマンスが異なるため、自分のケースに最適なものを見つけるために少し調査する必要があります。
上記のように、AppArmorのSELinux、Tomoyo。 MAC(Mandatory Access Control)を検索します。