ieh*_*ich 7 linux system-calls
我目前正在研究类似ACM的公共编程竞赛系统的后端.在这样的系统中,任何用户都可以提交代码源,该代码源将被编译并自动运行(这意味着,不执行人眼预先调节)以试图解决一些计算问题.
后端是GNU/Linux专用机器,其中将为每个参赛者创建用户,所有这些用户都是用户组的一部分.任何特定用户发送的源将存储在用户的主目录中,然后编译并执行以针对各种测试用例进行验证.
我想要的是禁止使用Linux系统调用源.这是因为问题需要独立于平台的解决方案,而为不安全的源启用系统调用则是潜在的安全漏洞.这些源可以成功地放在FS中,甚至可以编译,但从不运行.我还希望每当发送包含系统调用的源时都会收到通知.
到目前为止,我看到以下可能放置此类检查器的地方:
所以问题是:GNU/Linux是否为管理员提供了禁止用户组,用户或特定进程使用系统调用的机会?它可能是安全策略或轻量级GNU实用程序.
我试图谷歌,但谷歌今天不喜欢我.
模式1 seccomp允许进程本身限制到恰好四个系统调用:read,write,sigreturn,和_exit.正如seccomp-nurse所做的那样,这可以用于严格的沙盒代码.
模式2seccomp(在编写本文时,在Ubuntu 12.04中找到或修补自己的内核)为过滤系统调用提供了更大的灵活性.例如,您可以先设置过滤器,然后再设置exec测试中的程序.适当使用chroot或unshare可用于防止exec其他任何"有趣"的东西.