在服务器上运行其他人的代码(沙盒)的安全方法?
我想制作一个可以在本地运行其他人代码的Web服务…当然,我想将他们的代码访问权限限制在某些“沙盒”目录下,并且他们将无法连接到服务器的其他部分(数据库,主数据库网络服务器等)
最好的方法是什么?
(+)我想它是一样安全的..即使有人设法“入侵” ..他们只入侵来宾计算机
(+)可以限制进程使用的CPU和内存
(+)易于设置..只需创建虚拟机
(-)很难将沙箱目录从主机“连接”到来宾
(-)浪费额外的内存和cpu来管理VM
(+)不会浪费额外的资源
(+)沙箱目录只是一个普通目录
(?)不能限制CPU和内存吗?
(?)不知道它是否足够安全…
服务器运行Fedora Core 8,即用Java和C ++编写的“其他”代码
回答:
- 在没有特权的用户下运行,仍然允许本地攻击者利用漏洞来提升特权。
- 允许在VM中执行代码也是不安全的。最近的VMWare漏洞报告显示,攻击者可以访问主机系统。
我认为,从安全角度来看,首先允许在系统上运行本机代码不是一个好主意。也许您应该重新考虑允许他们运行 本机 代码,这肯定会降低风险。
以上是 在服务器上运行其他人的代码(沙盒)的安全方法? 的全部内容, 来源链接: utcz.com/qa/413939.html
