faking файловая система/виртуальная файловая система

Question

У меня есть веб-сервис, которому пользователи загружают скрипты python, которые запускаются на сервере. Эти скрипты обрабатывают файлы, которые находятся на сервере, и я хочу, чтобы они могли видеть только определенную иерархию файловой системы сервера (лучше всего: временная папка, на которой я копирую файлы, которые я хочу обработать, и скрипты).

В конечном итоге сервер будет основан на Linux, но если решение также возможно в Windows, было бы хорошо знать, как это сделать.

Что я, тем не менее, создает пользователя с ограниченным доступом к папкам FS - в конечном счете, только папку, содержащую скрипты и файлы, - и запускает интерпретатор python с помощью этого пользователя.

Может ли кто-нибудь дать мне лучшую альтернативу? поскольку полагаться только на это заставляет меня чувствовать себя неуверенно, я хотел бы использовать настоящую песочницу или виртуальную функцию FS, где я мог бы выполнить безопасный ненадежный код.

Answer 1

Для ограничения доступа к конкретным ресурсам может использоваться либо chroot jail, либо механизм безопасности более высокого порядка, такой как SELinux.

Answer 2

Возможно, вам лучше всего использовать виртуальную машину, такую ​​как VirtualBox или VMware (возможно, даже создание одного на пользователя/сеанс).

Это позволит вам некоторый контроль над другими ресурсами, такими как память и сети, а также диск

Единственный питона, который я знаю, что есть такие функции, встроенные в это один на Google App Engine. Это может быть подходящей альтернативой для вас.

Answer 3

Это по своей сути небезопасное программное обеспечение. Позволяя пользователям загружать скрипты, вы вводите уязвимость удаленного выполнения кода. Вам больше беспокоиться, чем просто изменять файлы, что заставляет скрипт python получать доступ к сети или другим ресурсам?

Для решения этой проблемы вам необходимо использовать песочницу. Чтобы лучше затвердеть система, вы можете использовать многоуровневый подход безопасности.

Первый слой, а самый важный слой - python sandbox. Пользовательские скрипты будут выполняться в изолированной программной среде python. Это даст вам тонкие ограничения, которые вам нужны. Затем все приложение python должно работать в пределах собственного выделенного chroot. Я настоятельно рекомендую использовать модули ядра grsecurity, которые улучшают прочность любого chroot. Например, grsecuirty chroot нельзя сломать, если злоумышленник не сможет разорвать яму в землю ядра, что очень сложно сделать в эти дни. Убедитесь, что ваше ядро ​​обновлено.

Конечным результатом является то, что вы пытаетесь ограничить ресурсы, которые имеет скрипт злоумышленника. Слои - это проверенный подход к безопасности, если слои различны настолько, что одна и та же атака не сломает их обоих. Вы хотите как можно больше изолировать скрипт от остальной части системы. Любые ресурсы, которые являются общими, также являются путями для злоумышленника.