我想在沙盒中执行不受信任的用户提交的代码。 除非存在错误或用户试图破坏服务器,否则代码不应使用太多CPU和Ram。
我可以使用lxc创建临时沙箱吗? 创建和停止容器的开销是多少? 如何获取脚本的输出? 是否有一个配置的例子,它阻止容器中的所有内容使其100%安全,而不仅仅打开我需要的东西? 容器是否能够使用主机上安装的Java和Python等程序,但仍然无法破坏主机?
由于
答案 0 :(得分:0)
我认为你应该试试docker.io。通过这种方式,LXC非常容易。设置LXC是一次性过程,然后您可以在< 5秒随时。
此处LXC内部的错误或用户无法破坏主机。客户端LXC使用cgroup和命名空间在基本级别完全分离资源,不仅与主机相同,而且其他LXC也在同一主机上运行。