个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
25
4
我正在尝试构建一项服务,以在 node 中以不同语言执行 程序并提供输出。到目前为止,我正在使用 child_process 的 spawn 生成命令。
let p = spawn('python',[sourceFilePath]);
有什么方法可以限制此child_process 对我的系统的访问,使其无法访问网络、文件系统,等等?
最佳答案
除了设置子进程的 UID/GID 之外,Node.js 本身不提供任何机制来限制子进程仅使用可用资源的子集,这可能不足以满足您的目标。
请注意,远程代码执行作为一种商业模式(即各种 *fiddle.org、在线 Playground 等)很难实现,因为保护主机操作是一项不平凡的任务系统。
I will assume that your program will eventually run on a Linux server as that is the most common type of servers available nowadays for Node.js deployments. Covering this topic for all types of operating systems would be too broad and probably not that helpful.
Node.js 在这里完全帮不上忙。 Node 可以生成子进程,仅此而已。它不控制任何这些 I/O 资源。 内核会。我们必须看看 Linux 内核在这方面提供了哪些功能。
我找到了一个 very detailed article about Linux sandboxing我将用它作为灵感的来源。如果您有兴趣,我建议您阅读并搜索类似的内容。
Linux 内核提供了低级机制来隔离各种系统资源中的进程。尽管我觉得这对于您的用例来说太低级了,但您可能想检查一下。
Firejail 是一种工具,可将出于测试目的的进程与其他系统资源隔离开来。我从未使用过它,但看起来它可以用于您的用例。
容器通常利用 Linux 命名空间来创建一个环境,对于在其中运行的进程来说,它看起来像是一个完整的操作系统,即使它们允许与主机操作系统完全隔离。在容器内运行程序时,您可以限制网络访问、文件系统访问甚至 CPU/内存使用。
考虑到您的用例,我可能会选择容器隔离,因为如今它们周围的社区非常庞大,这增加了您找到合适的支持/文档来实现您的目标的可能性。
关于node.js - 有没有办法在 node.js 中限制子进程访问我的系统?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51853117/
25
4
0
我有这个 html 代码: HELLO WORLD! X V HELLO WORLD! X V 我想按 X(类关闭)将父 div 的高度更改为 20px 并显示 V(类打开),但在每个 d
在会计应用程序的许多不同实现中,有两种主要的数据库设计方法来保存日志和分类帐数据。 只保留 Journal 信息,然后 Ledger 只是 Journal 的一个 View (因为 journal 总
我想在另一个子里面有一个子, sub a { sub b { } } 我想为每次调用 sub b 创建一个新的 sub a 实例。有没有办法在 Perl 中做到这一点? 当我运行上面的
我有一些代码正在查找重复项并突出显示单元格: Private Sub cmdDups_Click() Dim Rng As Range Dim cel As Range Set Rng = ThisW
可能有一个简单的解决方案,但我很难过。 我有一个包含一个 ID 字段的主表。在两个可能的字段中有一个具有该 ID 的子表。想象一个由选手 A 和选手 B 组成的 double 队。Master 表将有
假设我有一个包含对象的数组: [ { "id": "5a97e047f826a0111b754beb", "name": "Hogwarts", "parentId": "
我正在尝试对 MySQL 数据库表执行一对父/子模型的批量插入,但似乎无法使用标准的 ActiveRecord 功能来完成。所以,我尝试了 activerecord-import gem,但它也不支持
我有一个带有多个子类的父抽象类。最终,我希望通过 GUI 中的进度条显示子类中完成的进度。 我目前所做的,我意识到这是行不通的,是在父类中声明为每个子类将覆盖的虚拟方法的事件方法定义。所以像: pub
是否可以通过键数组在对象中设置变量?例如我有这个对象: var obj = {'outer': {'inner': 'value'} }; 并希望设置由键数组选择的值: var keys = ['ou
我有一个名为 companies 的 MySQL 表,如下所示: +---------+-----------+-----------+ | id_comp | comp_name | id_pare
我正在尝试使用 sublime text 在 sublime text 上的 ionic 上打开我的第一个应用程序。它给了我一个“找不到命令”的错误。如何修复? 我试过这些命令: sudo rm -r
不好意思问,但我正在使用 webapp2,我正在设计一个解决方案,以便更容易定义路由 based on this google webapp2 route function .但这完全取决于能够在子级
我有代表树的数字字符串(我不知道是否有官方名称): 012323301212 上面的例子代表了 2 棵树。根用 0 表示。根的直接子代为“1”,“1”的直接子代为“2”,依此类推。我需要将它们分组到由
是否可以在当前 Activity 之上添加 Activity 。例如,假设我单击一个按钮,然后它将第二个 Activity 添加到当前 Activity 。而第二个 Activity 只覆盖了我当前
我很难思考如何为子资源建模。 以作者的书籍为例。你可以有 N 本书,每本书只有一位作者。 /books GET /books POST /books/id PUT /books/id DELETE 到
有人可以向我解释以下内容(python 2.7) 来自已解析文件的两个字符串数字: '410.9''410.9 '(注意尾随空格) A_LIST = ['410.9 '] '410.9' in '41
背景 在 PowerShell 中构建 hash table 是很常见的通过特定属性快速访问对象,例如以 LastName 为基础建立索引: $List = ConvertFrom-Csv @' I
我真的很难弄清楚如何调用嵌套 Polymer Web 组件的函数。 这是标记: rise-distribution组件有 canPlay我想从 rise-playlist
我写了一个小工具转储(以 dot 格式)一个项目的依赖关系图,其中所有位于同一目录中的文件都聚集在一个集群中。当我尝试生成包含相应图形的 pdf 时,dot开始哭: 命令 dot -Tpdf trim
给定一个 CODE ref,是否可以: 访问该 CODE ref 的解析树 通过指定 CODE ref 的解析树来创建一个新的 CODE ref,该解析树可以包含在 1 中返回的解析树的元素 通常我们
我是一名优秀的程序员,十分优秀!