阻止潜在的恶意 R 调用

Question

我们假设您以 root/admin 权限运行 R。除了 system() 和 file.*() 之外，您认为哪些 R 调用有害？

这是一个特定于平台的问题，我运行的是 Linux，所以我对特定于 Linux 的安全漏洞感兴趣。如果您阻止有关 R 的讨论，我会理解，因为这篇文章很容易变成“如何用 R 搞乱系统？”

Answer 1

不要以 root 权限运行 R。没有有效的方法以这种方式保护 R，因为该语言包含 eval 和反射，这意味着即使您不希望我这样做，我也可以构造对系统的调用。

更好的办法是以一种不会影响系统或用户数据的方式运行 R，无论它试图做什么。

Answer 2

任何调用外部代码的内容也可能会导致系统更改，因此您需要阻止某些包和诸如 .Call()、.C()、之类的内容.jcall() 等。

可以说，这最终将成为一项几乎不可能完成的任务，如果您需要 root 访问权限，您最好在虚拟化环境等中运行它。

Answer 3

你不能。你应该改变这个问题：“我如何运行用户提供的 R 代码，以免伤害用户或系统的其他用户？”这实际上是一个非常有趣的问题，可以通过一些云计算、apparmor、chroot magic 等来解决。

Answer 4

您可以使用大量命令来损害系统。一些示例：Sys.chmod、Sys.umask、unlink、任何允许您读取的命令/write 到连接（有很多）、.Internal、.External 等。

如果您阻止用户使用这些命令，则没有什么可以阻止他们执行某些操作一个你不知道要阻止的包。

Answer 5

正如对该线程的几乎每个回复所指出的，删除 R 语言中的“潜在有害”调用将：

• 可能不可能完全做到。
• 如果不花费大量时间编写复杂的（即丑陋的）黑客，就很难做到这一点。
• 通过删除大量使 R 变得如此灵活的功能来削弱语言。

一个不需要修改/重写 R 语言大部分内容的更安全的解决方案是使用类似 BSD Jails、Jailkit 或 Solaris 区域。

其中许多解决方案允许被监禁的进程行使类似 root 的权限，但限制该进程可以操作的计算机区域。

一次性虚拟机是另一种选择。如果特权用户破坏了虚拟环境，只需将其删除并启动另一个副本即可。

Answer 6

我一直以来的最爱之一。你甚至不必成为r00t。

library(multicore);
forkbomb <- function(){
  repeat{
    parallel(forkbomb());
  }
}
forkbomb();

Answer 7

套用枪支权利人士的一句陈词滥调，“system() 不是有害的 - 调用 system() 的人是有害的”。

没有函数调用本质上是有害的，但是如果您允许人们自由使用它们，那么这些人可能会造成伤害。

此外，伤害的定义取决于您认为有害的内容。

Answer 8

一般来说，R 非常复杂，您可以假设有一种方法可以通过看似无害的函数来欺骗它执行数据，例如通过缓冲区溢出。