我正在考虑构建一个Web应用程序,该应用程序将涉及用户编写python的一小部分以及服务器测试该代码。然而,这带来了许多安全问题。 docker是否是运行这种潜在恶意代码的良好隔离工具?根据我的阅读,使用ptrace检查系统调用是可能的,但我更愿意使用预先存在的工具。
答案 0 :(得分:4)
Docker确实非常适合这种用法。但请注意,docker尚未准备好投入生产。
我建议创建一个新容器,并为您的用户提供对此容器的非root权限。每个用户一个容器。
通过这种方式,您可以准备好泊坞窗图像并准备环境并准确控制用户正在做的事情:)