限制嵌入式 python 实例的功能

Question

有没有办法限制在嵌入式解释器下运行的 python 脚本的能力？具体来说，我希望阻止脚本执行以下操作：

• 导入 python 扩展模块（即 .pyd 模块），应用程序特别允许的除外。
• 以任何方式操纵进程（即启动新进程或终止应用程序）。
• 任何类型的网络。
• 操作文件系统（例如创建、修改和删除文件）。

Answer 1

不。没有简单的方法可以在 CPython 上防止这些事情。您的选择是：

1. 编辑 CPython 源代码并删除您不需要的内容 - 为所有这些内容提供模拟方法。非常容易出错并且很难做到。这就是Google App Engine 的做法。
2. 使用受限 Python。但是，使用它您无法阻止用户耗尽可用内存或运行无限的“吃掉所有 CPU”循环。
3. 使用另一个 python 实现。 PyPy 有一个可以使用的沙盒模式。 Jython 在java下运行，我猜java可以沙箱化。

Answer 2

也许这个会有所帮助。您提供了有关如何使用 ast 的示例。

Answer 3

你想要什么 Google 的 Unladen Swallow 项目，Python 版本的 App Engine 运行。

模块受到严格限制，不允许使用 ctypes，套接字会根据某些策略或其他策略进行匹配，换句话说，您将获得与 Java 产品一致的 Python 沙盒版本。

我想指出的是，这使得该系统几乎毫无用处。对于任何比另一个 [App Engine] 应用程序更酷的东西来说毫无用处。忘记猴子修补系统模块，甚至对自己的堆栈的访问也受到限制。完全不动态。

OT：游戏通常会嵌入 LUA 来编写脚本，也许你应该检查一下。