самая нересурсоемкая песочница

0

2

Задача: на боевом сервере необходимо выполнять левые не проходящие никакой проверки пользовательские программы (которые могут быть и вредоносными). Единственное, что им необходимо обеспечить - стандартный ввод/вывод. Запись в файл/операции с сетью нужно отрубить, возможность испортить чужую память - тоже.
Как это сделать? Работающее (но, как оказалось, неприемлимое по производительности) решение было плодить толпы openvz гостей - по штуке на каждую пользовательскую программу. Альтернативы? Apparmor какой-нибудь с этим справится?
да, пользовательские программы могут быть написанны на всяких низкоуровневых сях

Ссылка

←	Почему часть пакетов может не проходить маршрутизатор?

Проектирование конфигурационных файлов XML

→

lxc

post-factum ★★★★★
(18.12.10 16:09:26 MSK)

Ответ на: комментарий от post-factum 18.12.10 16:09:26 MSK

Присоединяюсь, lxc прекрасно подходит для этой задачи

xanf ★
(18.12.10 16:14:04 MSK)

Ответ на: комментарий от post-factum 18.12.10 16:09:26 MSK

оно умеет именно «песочницу», а не виртуальные машины? в openvz получалась сильная накладка на создании гостей, потому что их много нужно и быстро

nbdarvin
(18.12.10 16:15:00 MSK) автор топика

Ссылка

Ответ на: комментарий от xanf 18.12.10 16:14:04 MSK

вы бы рискнули на боевом сервере под lxc под рутом запустить зловредный бинарник?

nbdarvin
(18.12.10 16:19:00 MSK) автор топика

Ответ на: комментарий от nbdarvin 18.12.10 16:19:00 MSK

А зачем под рутом-то?

~~geekless~~ ★★
(18.12.10 16:22:13 MSK)

а кто что может сказать про вот это: https://code.launchpad.net/~stgraber/ junk/sandbox как я понимаю, это утилита на базе lxc, которая обертывает его до «песочницы»

nbdarvin
(18.12.10 16:22:51 MSK) автор топика

Ссылка

Ответ на: комментарий от geekless 18.12.10 16:22:13 MSK

ну, предположим пользовательский код получил рута

nbdarvin
(18.12.10 16:31:33 MSK) автор топика

Ответ на: комментарий от nbdarvin 18.12.10 16:31:33 MSK

Если делать такие предположения, то лучше сразу запускать код в qemu.

~~geekless~~ ★★
(18.12.10 16:39:42 MSK)

Ссылка

nbdarvin> Единственное, что им необходимо обеспечить - стандартный ввод/вывод. Запись в файл/операции с сетью нужно отрубить, возможность испортить чужую память - тоже.

selinux

~~sdio~~ ★★★★★
(18.12.10 16:46:27 MSK)

Ответ на: комментарий от nbdarvin 18.12.10 16:19:00 MSK

Да, вполне. LXC-шный рут никакого отношения к руту «гипервизора» не имеет

xanf ★
(18.12.10 17:06:42 MSK)

Ответ на: комментарий от xanf 18.12.10 17:06:42 MSK

Получить рута можно либо через баг в SUID программе, либо через баг ядра. Поскольку требуется только лишь делать тривиальный ввод-вывод во внешний мир, внутри песочницы SUID программы не нужны, и их там не будет. Значит, получить рута можно только через баг ядра. А раз мы не полагаемся на надёжность ядра в целом, то полагаться на надёжность отдельной его подсистемы (которая контейнеры обслуживает) тоже нет смысла. Поэтому, как мне кажется, вопрос о руте не имеет смысла в таком контексте.

Либо мы считаем ядро надёжным, и значит программа не получит никакого рута — ни LXC-шного, ни внешнего. Либо не считаем надежным, и тогда его надо тоже выносить в песочницу, т.е. использовать что-то типа qemu.

~~geekless~~ ★★
(18.12.10 17:19:42 MSK)