我正在执行一个实现分布式模拟的项目:在多个节点上执行任意代码,然后收集并汇总结果。
每个节点都是Ubuntu Linux虚拟机的一个实例,并运行一个主进程,该进程负责将要执行的代码转发给多个工作进程(每个内核1个)。
这个问题是关于如何确保每个工作程序在沙盒环境中运行,而又不对每个工作程序使用虚拟机实例。对工人的确切要求是:
- fs:没有写权限,只读权限仅限于一个目录(和子文件夹)
- net:仅允许本地通信(IPC,TCP等)
- mem:限制内存使用量(无交换内存),如果超过mem限制则终止
- cpu:仅允许1个内核,如果超过时间限制则终止
不应施加其他限制:工作者应该能够加载动态库(从只读文件夹),生成新线程或进程,调用系统函数,ecc ecc,但限制必须由生成/加载的实体继承,并且应该以总和的方式应用(例如,我们不能让一个工作器产生两个各自使用800MB的线程,则该工作器的内存限制为1GB)。
毋庸置疑,工人没有权利提高自己的权利。
我花了相当多的时间来审查可用的替代方案(SELinux,AppArmor,cgroups,ulimit,Linux名称空间,LXC,Docker等),以找到满足我的要求的最简单的解决方案,但是我在该领域的经验有限。
当前的理解:在我的用例中,LXC和Docker有点沉重,并不完全安全1。由于易于配置,AppArmor优于SELinux,可将其用于fs和网络限制;cgroups比ulimit(在单个进程上运行)更可取,将其用于mem和cpu限制。
这是实现我的目标的最简单方法吗?我可以单独使用AppArmor还是cgroup?我的模型中是否存在明显的安全漏洞?指导方针应该是“允许工人放下自己,但别无其他”。
2
如果您的目标是限制资源,那么您可以比Ubuntu来宾(或任何真正的Debian派生产品)做得更好。在任何情况下,你可能想用户模式Linux和/或(与最新的内核)的用户命名空间
—
mikeserv
LXC听起来完全符合您的需求。您为什么认为它过于沉重和不安全?(当然,它有bug,但是您可能会用到的东西也都有。)
—
Gilles'
链接的演示文稿(从2011年开始允许)和Ubuntu LXC文档的“安全性”部分谈论“命名空间泄漏”不是很令人放心。似乎主要基于名称空间和cgroups的LXC可能是目前最好的选择。我还发现Linux-Sandboxing有趣的阅读
—
StephQ 2014年
它可能需要一些重新设计,但是您是否考虑过在BSD监狱上运行?
—
莱德(Ryder)
尽管LXC就像一堆VM一样“繁重”,但制作它们确实很简单。其中一些解决方案虽然“较轻”,可能需要大量配置。使用LXC,您可能不需要配置诸如编写之类的东西,因为一个应用程序将拥有整个容器。
—
MikeP