我想在沙箱中执行不受信任的用户提交的代码。除非存在错误或用户试图破坏服务器,否则代码不应使用太多 CPU 和 Ram。
我可以使用 lxc 创建临时沙箱吗?创建和停止容器的开销是多少?如何获得脚本的输出?是否有一个配置示例阻止容器中的所有内容以使其 100% 安全,而不是只打开我需要的东西?容器是否能够使用主机上安装的 Java 和 Python 等程序,但仍无法破坏主机?
谢谢
问问题
798 次
我想在沙箱中执行不受信任的用户提交的代码。除非存在错误或用户试图破坏服务器,否则代码不应使用太多 CPU 和 Ram。
我可以使用 lxc 创建临时沙箱吗?创建和停止容器的开销是多少?如何获得脚本的输出?是否有一个配置示例阻止容器中的所有内容以使其 100% 安全,而不是只打开我需要的东西?容器是否能够使用主机上安装的 Java 和 Python 等程序,但仍无法破坏主机?
谢谢
我认为您应该尝试docker.io。有了这个,LXC 变得非常容易。设置 LXC 是一个一次性的过程,然后您可以在 < 5 秒内随时运行它。
LXC 内部的错误或用户不可能危及主机。客户端 LXC 使用 cgroup 和命名空间在基本级别完全分离资源,不仅与主机,而且在同一主机上运行的其他 LXC 也是如此。