我希望使用chroot运行一些不受信任的代码。
然而,许多人声称chroot不是安全功能,可以很容易地解决。
因此我的问题是像https://ideone.com/这样的应用如何设法快速安全地运行不受信任的代码。此外,如果chroot可以被排除在外,则无法在https://ideone.com/中突破chroot。
答案 0 :(得分:0)
我不确定你指的是什么不受信任的代码,但chroot只是改变了明显的文件结构 - 理论上你无法看到某个级别以上。但符号链接仍然可以工作,所以如果你的chrooted目录有一个上面目录的符号链接,chroot对你没有任何好处。
应用程序也可以通过其他应用程序访问资源。一些聪明的黑客知道如何利用正在运行的应用程序,但如果你以root身份设置ideone环境,那么一切皆有可能。
理论上,您可以安装对文件系统具有完全访问权限的主应用程序。然后在chrooted环境中运行代码。如果该主应用程序正在运行并正在监听,它可以将资源转发到您的chrooted应用程序。
快?当然......安全......好吧......以我的例子为主应用程序是一个守门人,但通过对主应用程序的信任,它仍然是安全的。