Linux ベースの Web サービスに機能を追加して、信頼できないユーザーがソース コードを小さな C++ プログラムにアップロードし、そのコードがサーバー上のファイルに自動的に保存され、gcc でコンパイルされてから実行されるようにしたいと考えています。標準出力をキャプチャします。(これは、ideone.com、spoj.pl、topcoder.com、codechef.com、またはこれを行う他の多くの Web サイトと同じ機能です。)
私の質問は次のとおりです。
Q1. ファイルシステムに損害を与えたり、ネットワークにアクセスしようとする悪意のあるユーザーから保護するために、実行可能ファイルをサンドボックス化するにはどうすればよいですか?
Q2. プロセッサ時間やメモリ使用量など、システム リソースをプロセスに割り当てる公平で正確な方法はありますか?