5

我需要运行用户提交的应用程序。我的代码如下所示:

def run_app(app_path):
    inp = open("app.in", "r")
    otp = open("app.out", "w")

    return subprocess.call(app_path, stdout=otp, stdin=inp)

现在,由于我无法控制用户将提交的内容,因此我想限制应用程序输出的大小。其他诸如试图访问未经授权的系统资源和滥用 CPU 周期的事情正受到 apparmor 规则执行的限制。允许运行的最长时间由父进程(在 python 中)处理。现在,恶意应用程序仍然可以通过将大量数据写入其 stdout 来尝试淹没服务器系统,因为它知道 stdout 正在保存到文件中。

我不想将 AppArmors RLIMIT 或内核模式下的任何东西用于 stdout/stderr 文件。能够使用标准库从 python 中完成它会很棒。

我目前正在考虑创建一个文件的子类,并在每次写入时检查已将多少数据写入流。或者创建一个设置了最大长度的内存映射文件。

但我觉得可能有一种更简单的方法来限制文件大小我还没有看到它。

4

1 回答 1

2

子类file化或创建其他伪文件 Python 对象根本不起作用,因为该文件将在子进程中使用 - 因此它必须是 OS 文件,而不是 Python 类对象。Subprocess 不会将您的 Python 对象发送给其他进程使用。

虽然 Python 对内存映射文件具有原生和简单的支持,但通过该mmap模块,内存映射并不意味着此:您可以指定镜像到内存的文件的大小,但您不限制写入文件根本:多余的数据将简单地写入磁盘而不是映射。(同样,您将磁盘文件而不是 mmap 对象传递给子进程)。可以在某个时候创建​​一个带有哨兵值的文件,并保持一个线程检查哨兵是否被覆盖,此时它可能会杀死子进程 - 但我怀疑这是否可靠。

然后,有磁盘活动监控工具,例如 inotify:您可以使用pinotify来处理主进程上的处理程序,每当访问文件时都会调用该处理程序。缺点:没有“文件写入”事件 - 只是“文件访问” - 我不确定是否有任何可能的事件会由文件的增量写入触发。而且,尽管如此,如果子进程将在单个系统调用中完成其所有写入,那么无论如何您都会收到通知为时已晚。

所以,我能想到的可行的是:在人为限制的文件系统中创建一个文件。这样,当超过 max-size 时,操作系统将阻止写入。

在 Linux 下,您可以预先创建一个具有所需大小 + 一些开销的文件,在其上创建一个 FS,并使用“循环”接口安装它 - 然后只需在该文件系统中创建您的 stdout 和 sterr 文件,然后调用您的孩子过程。

您可以根据需要预先创建和预先挂载此类文件系统池 - 或者,您甚至可以动态创建它们 - 但这需要创建 FS 主机文件、在其上创建文件系统结构的步骤(mkfs) 并安装它 - 所有这些都可能是很多开销。

总而言之,也许您最好使用 Apparmor 自己的 rlimit 设置。

于 2017-02-11T07:08:20.307 回答