Questions tagged «sandbox»

2
Chromium选项`--no-sandbox`是什么意思?
我像这样运行Chromium: chromium --no-sandbox 之所以这样做,是因为我在OpenVZ VM容器上运行Debian Squeeze,这是使它工作的唯一方法。 尽管我一直在读书,这太可怕了。但是我想知道为什么。有人可以向我解释吗? 有人需要侵入您的计算机进行破坏吗?还是该漏洞来自JavaScript之类的网络文件? 如果我只锁定了少数几个“受信任”的网站,该怎么办?(Gmail,stackexchange(课程)和facebook)


4
最简单的安全沙箱(需要有限的资源)
我正在执行一个实现分布式模拟的项目:在多个节点上执行任意代码,然后收集并汇总结果。 每个节点都是Ubuntu Linux虚拟机的一个实例,并运行一个主进程,该进程负责将要执行的代码转发给多个工作进程(每个内核1个)。 这个问题是关于如何确保每个工作程序在沙盒环境中运行,而又不对每个工作程序使用虚拟机实例。对工人的确切要求是: fs:没有写权限,只读权限仅限于一个目录(和子文件夹) net:仅允许本地通信(IPC,TCP等) mem:限制内存使用量(无交换内存),如果超过mem限制则终止 cpu:仅允许1个内核,如果超过时间限制则终止 不应施加其他限制:工作者应该能够加载动态库(从只读文件夹),生成新线程或进程,调用系统函数,ecc ecc,但限制必须由生成/加载的实体继承,并且应该以总和的方式应用(例如,我们不能让一个工作器产生两个各自使用800MB的线程,则该工作器的内存限制为1GB)。 毋庸置疑,工人没有权利提高自己的权利。 我花了相当多的时间来审查可用的替代方案(SELinux,AppArmor,cgroups,ulimit,Linux名称空间,LXC,Docker等),以找到满足我的要求的最简单的解决方案,但是我在该领域的经验有限。 当前的理解:在我的用例中,LXC和Docker有点沉重,并不完全安全1。由于易于配置,AppArmor优于SELinux,可将其用于fs和网络限制;cgroups比ulimit(在单个进程上运行)更可取,将其用于mem和cpu限制。 这是实现我的目标的最简单方法吗?我可以单独使用AppArmor还是cgroup?我的模型中是否存在明显的安全漏洞?指导方针应该是“允许工人放下自己,但别无其他”。


2
LXC容器作为沙箱环境
我目前正在启动一个在安全的沙箱环境中评估不受信任的程序(学生作业)的项目。主要思想是围绕lxc-utils为GlassFish和Java包装器创建一个Web应用程序,以管理LXC容器。它会有一个等待程序的队列,一个Java包装器将维护一个固定数量的LXC容器(池),并为每个程序分配一个(未使用的)容器。 每个容器都应使用SELinux进行保护,以保护主机系统。 我的问题是:为沙盒环境创建这样的机制是个好主意,还是有解决这个问题的更好的解决方案?它应该轻巧可靠,以防止学生的创造力。

1
如何在Debian中设置SELinux沙箱?
我已经在Debian sid中安装了SELinux,以便使用将应用程序锁定到受限环境的沙箱,但是我无法使其正常工作。如果我尝试在许可模式下使用沙盒命令而没有任何选择,例如sandbox nano,则会出现以下错误: /usr/bin/sandbox: [Errno 22] Invalid argument 而且,如果我尝试使用带有或不带有-X选项的临时home和tmp dirs选项运行它,则会弹出另一个错误消息: Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539. Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory 我尝试在强制模式下使用沙盒应用程序,但它抱怨缺少类型强制规则。我不认为这是问题所在。有谁知道如何解决这一问题?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.