1

信頼されていないユーザーが送信したコードをサンドボックスで実行したいと考えています。バグがあるか、ユーザーがサーバーを侵害しようとしない限り、コードは CPU と RAM をあまり使用しないでください。

lxc を使用して一時的なサンドボックスを作成できますか? コンテナーの作成と停止のオーバーヘッドはどのくらいですか? スクリプトの出力を取得するにはどうすればよいですか? コンテナー内のすべてをブロックして 100% 安全にし、必要なものだけを開く構成の例はありますか? コンテナーは、ホストにインストールされた Java や Python などのプログラムを使用できますが、それでもホストを危険にさらすことはできませんか?

ありがとう

4

1 に答える 1

-1

docker.ioを試してみるべきだと思います。これで LXC の作成は非常に簡単です。LXC のセットアップは 1 回限りのプロセスであり、いつでも 5 秒未満で実行できます。

また、バグや LXC 内部のユーザーがホストを危険にさらすことはありません。クライアント LXC は、cgroup と名前空間を使用して、ホストだけでなく同じホスト上で実行されている他の LXC も含めて、基本レベルでリソースを完全に分離します。

于 2014-01-24T03:43:34.317 に答える