linux - 在线评委沙盒

Question

我开发了一个 Linux 应用程序，它运行从用户(参赛者)那里收到的不受信任的代码。更具体地说，该应用程序是一个 online judge ，类似于 UVa OJ , SPOJ和 Codeforces , 但主要是 BOCA Online Contest Administrator .我的 OJ 支持 C、C++、Java 和 Python。

目前，我的 OJ 非常不安全，因为在运行不受信任的代码时没有沙箱。所以我正在寻找最好的方法来做到这一点。该解决方案的主要要求是:用户(设置比赛的人，而不是参赛者)必须尽可能少地设置我的应用程序。我认为 git clone repo , make , sudo make install ,
pjudge install <contest_dir> , cd <contest_dir> , 改变一些 .txt文件，将 secret 测试用例放入problems/和 pjudge start <port>已经太多了。

首先，考虑使用 chroot(2) 的解决方案，我宁愿让我的软件不安全也不愿强制用户设置根目录。/chroot(8) .对于作为开发人员和用户的我来说，这个解决方案比我愿意为这个个人项目所承受的痛苦还要痛苦。

我也考虑过 ptrace(2) 的解决方案, 如果它进行了禁止的系统调用，则终止该进程。我尝试了一些简单的代码来查看它是否有效，但对于某些系统调用它似乎无法正常工作。另外，我想我必须过滤很多系统调用……而且我不知道 JVM/Python 运行时需要什么系统调用……我不确定这个解决方案是否可行。如果有人知道如何正确使用此解决方案，请帮助我!

而且我还找到了seccomp(2) .这使得进程只能调用 read(2) , write(2) , _exit(2)和 sigreturn(2) .这个解决方案看起来很棒。在我的应用程序中实现它很容易，它应该完全按照我的需要工作……但仅适用于 C 和 C++。 Java和Python又是一个问题。考虑到我使用 fork(2)，我不知道这个解决方案如何适用于后两种语言+ exec(2)/system(3)在我的源代码中(顺便说一句，它是用 C++ 编写的)。

任何帮助将不胜感激。也许一些正确/有效的使用方式 ptrace(2)/seccomp(2) ，或我缺少的其他一些解决方案。但是，拜托，满足我唯一要求的东西!用户设置我的应用程序应该非常容易、简单和快速。

提前致谢!

Answer 1

开发自己的沙箱机制很困难，会导致不明显的安全漏洞。还有你的definitely should not use chroot和 ptrace 作为安全工具。

改用成熟的工具。我建议从 bubblewrap 开始- 因为它非常易于使用、轻量级并且不需要 root 权限。它将使用 Linux namespaces(7) 来安全地将提交与根文件系统、网络和进程列表隔离。

接下来您应该关心的是资源限制。这可以通过 Linux cgroups(7) 功能来完成。尝试设置了 systemd.resource-control(5) 属性的 systemd-nspawn 工具。它需要 root 权限才能运行，所以要小心。

最后使用平台相关( native 、python、java)seccomp-bpf 过滤器强化系统调用调用。