가장 간단한 보안 샌드박스(제한된 리소스 필요)

Question 1

예, 특히 cgroup과 SELinux/AppArmor를 사용하여 모니터링하고 제어할 수 있습니다.평상복실행할 코드입니다.

cgroup을 사용하면 다음을 수행할 수 있습니다:

cpuset하위 시스템의 CPU 코어 사용량을 CPU 1개로 제한
메모리 사용량 제한 설정 memory하위 시스템은 메모리 사용량 제한을 설정하고 포크도 추적합니다. 바라보다https://github.com/gsauthof/cgmemtime예를 들어.
lo하위 시스템 에 net_prio연결되지 않은 항목에 대한 네트워크 액세스를 방지합니다 .

SELinux/AppArmor를 사용하면 프로세스에 대한 읽기/쓰기 액세스를 제한할 수 있습니다.

참고: 저는 AppArmor에 대해 잘 모르지만 이는 쓰기 및 읽기 보호가 해당 작업인 필수 액세스 제어(MAC) 시스템입니다.

이러한 시스템을 사용하려면 올바른 구성을 작성해야 합니다. 물론 이것은 말처럼 쉽지 않습니다. 시작하는 데 도움이 되는 몇 가지 참조 링크는 다음과 같습니다.

행운을 빌어요!

Answer

예, 특히 cgroup과 SELinux/AppArmor를 사용하여 모니터링하고 제어할 수 있습니다.평상복실행할 코드입니다.

cgroup을 사용하면 다음을 수행할 수 있습니다:

cpuset하위 시스템의 CPU 코어 사용량을 CPU 1개로 제한
메모리 사용량 제한 설정 memory하위 시스템은 메모리 사용량 제한을 설정하고 포크도 추적합니다. 바라보다https://github.com/gsauthof/cgmemtime예를 들어.
lo하위 시스템 에 net_prio연결되지 않은 항목에 대한 네트워크 액세스를 방지합니다 .

SELinux/AppArmor를 사용하면 프로세스에 대한 읽기/쓰기 액세스를 제한할 수 있습니다.

참고: 저는 AppArmor에 대해 잘 모르지만 이는 쓰기 및 읽기 보호가 해당 작업인 필수 액세스 제어(MAC) 시스템입니다.

이러한 시스템을 사용하려면 올바른 구성을 작성해야 합니다. 물론 이것은 말처럼 쉽지 않습니다. 시작하는 데 도움이 되는 몇 가지 참조 링크는 다음과 같습니다.

행운을 빌어요!

Question 2

나는 버릴 것이다SELinux~을 위한갑옷을 적용내가 사용하는 경우에만우분투. (정말 꽤 어렵다)

LXC본질적으로 안전하지 않음 보안이 필요한 경우 다음을 통해 사용해야 합니다.라이브러리 가상 머신(기준으로SELinux MLS).

당신의 문제는끝없는그러므로 무제한의 시간 없이 기성 솔루션을 찾으려고 하지 마십시오.kernel.org최근에 사기를 당했어요FBI누군가 자신의 시스템을 수년 동안 사용해왔는데 이제서야 발견되었다고 주장합니다.

내가 함께 할게LXC/libvirt좋은 보안을 위해 그렇지 않으면 "new"를 시도하겠습니다.인텔 투명 용기, 컨테이너에 매우 가벼운 VM을 사용하고 명시적으로독일 DAX/KSM(아직 테스트하지는 않았지만 유망해 보입니다.)

커널 악용이 우려되는 경우사이버 보안귀하의 솔루션이지만 이를 컨테이너 솔루션과 통합해야 합니다(물론 골치 아픈 일입니다).

그러니 확실히 쉽지 않은 일이죠.LXC/libvirt정말 깔끔하지만 투명한 용기가 더 나을 수도 있습니다.

루스트어바웃? vagrant box를 사용할 수 없을 때 로컬 테스트 이외의 용도로 docker를 사용하지 않습니다. 더 많은 작업과 더 나은 커뮤니티가 필요합니다.

물론 systemd 컨테이너도 좋지만 언급조차 하지 않았고 공급업체에 구애받지 않는 솔루션이 아니기 때문에 마음에 들지 않거나 원하지 않는다고 가정합니다.

"더 간단하고" 더 아마추어적인 것을 원한다면 확인해 보세요.화재 감옥, 저는 몇 가지 데스크톱 "앱"에서 이 앱을 사용하고 있으며 작업을 수행합니다(맞춤형 앱용 템플릿을 만드는 것이 매우 쉽습니다. 디렉터리 상단에 있는 "개인" 설치를 사용하고 네트워크를 로컬 사용으로 제한합니다) 단, 생성 프로세스는 상위 프로세스를 상속하고 계속됩니다...).

화내지 않고 즐겁게 보내세요. ;)

Answer

나는 버릴 것이다SELinux~을 위한갑옷을 적용내가 사용하는 경우에만우분투. (정말 꽤 어렵다)

LXC본질적으로 안전하지 않음 보안이 필요한 경우 다음을 통해 사용해야 합니다.라이브러리 가상 머신(기준으로SELinux MLS).

당신의 문제는끝없는그러므로 무제한의 시간 없이 기성 솔루션을 찾으려고 하지 마십시오.kernel.org최근에 사기를 당했어요FBI누군가 자신의 시스템을 수년 동안 사용해왔는데 이제서야 발견되었다고 주장합니다.

내가 함께 할게LXC/libvirt좋은 보안을 위해 그렇지 않으면 "new"를 시도하겠습니다.인텔 투명 용기, 컨테이너에 매우 가벼운 VM을 사용하고 명시적으로독일 DAX/KSM(아직 테스트하지는 않았지만 유망해 보입니다.)

커널 악용이 우려되는 경우사이버 보안귀하의 솔루션이지만 이를 컨테이너 솔루션과 통합해야 합니다(물론 골치 아픈 일입니다).

그러니 확실히 쉽지 않은 일이죠.LXC/libvirt정말 깔끔하지만 투명한 용기가 더 나을 수도 있습니다.

루스트어바웃? vagrant box를 사용할 수 없을 때 로컬 테스트 이외의 용도로 docker를 사용하지 않습니다. 더 많은 작업과 더 나은 커뮤니티가 필요합니다.

물론 systemd 컨테이너도 좋지만 언급조차 하지 않았고 공급업체에 구애받지 않는 솔루션이 아니기 때문에 마음에 들지 않거나 원하지 않는다고 가정합니다.

"더 간단하고" 더 아마추어적인 것을 원한다면 확인해 보세요.화재 감옥, 저는 몇 가지 데스크톱 "앱"에서 이 앱을 사용하고 있으며 작업을 수행합니다(맞춤형 앱용 템플릿을 만드는 것이 매우 쉽습니다. 디렉터리 상단에 있는 "개인" 설치를 사용하고 네트워크를 로컬 사용으로 제한합니다) 단, 생성 프로세스는 상위 프로세스를 상속하고 계속됩니다...).

화내지 않고 즐겁게 보내세요. ;)

Question 3

seccomp-bpf는 OpenSSH, vsftpd 및 Chromium에서 작동하는 또 다른 옵션입니다. 여기에는 exit(), sigreturn(), read()만 있고 write()도 사용하지만 구성 가능한 Berkeley 패킷 필터 규칙 필터링을 사용할 수 있습니다. 시스템 이전. 메모리, CPU 등을 위한 cgroup과 함께 사용할 수도 있습니다.

https://wiki.mozilla.org/Security/Sandbox/Seccomp

Answer

seccomp-bpf는 OpenSSH, vsftpd 및 Chromium에서 작동하는 또 다른 옵션입니다. 여기에는 exit(), sigreturn(), read()만 있고 write()도 사용하지만 구성 가능한 Berkeley 패킷 필터 규칙 필터링을 사용할 수 있습니다. 시스템 이전. 메모리, CPU 등을 위한 cgroup과 함께 사용할 수도 있습니다.

https://wiki.mozilla.org/Security/Sandbox/Seccomp

Question 4

그리드 컴퓨팅 시스템을 살펴보고 싶을 수도 있습니다. 특히 BOINC(http://boinc.berkeley.edu) 거의 모든 상자를 확인합니다.

귀하의 매개변수에 따라 실행될 것이라고 믿습니다.

fs: 자신의 디렉터리를 읽고 쓸 수 있지만 다른 디렉터리는 읽을 수 없습니다.

net: BOINC 서버에 대한 네트워크 액세스만 허용하도록 구성할 수 있지만 기본 IIRC는 아닙니다.

mem: 예, 유휴 컴퓨터와 유휴 컴퓨터가 아닌 컴퓨터에 대한 별도의 메모리 제한

CPU: 예, "컴퓨터가 유휴 상태가 아니면 실행하지 마세요"라고 말할 수도 있습니다.

Answer