使用 gcc/g++ 时抑制系统调用

Question

我的大学 LAN 中有一个门户，人们可以在其中上传 C/C++ 编程难题的代码。我希望确保门户安全，以便人们无法通过其提交的代码进行系统调用。可能有几种解决方法，但我想知道是否可以简单地通过设置一些聪明的 gcc 标志来做到这一点。 libc 默认情况下似乎包含 ，它似乎是声明系统调用的基本文件。有没有办法告诉 gcc/g++ 在编译时“忽略”此文件，以便无法访问 unistd.h 中声明的任何函数？

Answer 1

一些特殊原因 chroot("/var/jail/empty"); setuid(65534); 还不够好（假设 65534 有合理的限制）？

Answer 2

限制对头文件的访问不会阻止您访问 libc 函数：如果您链接到 libc，它们仍然可用 - 您只是不会拥有原型（和宏）到手；但你可以自己复制它们。

不链接 libc 也无济于事：系统调用可以直接通过内联汇编器（甚至涉及跳转到数据的技巧）进行。

我认为这总体上不是一个好方法。在完全独立的虚拟沙箱中运行上传的代码（也许通过 QEMU 或类似的东西）可能是更好的方法。

Answer 3

-D 可以覆盖单个函数名称。例如：

gcc file.c -Dchown -Dchdir

或者您可以自己设置包含保护：

gcc file.c -D_UNISTD_H

但是智能提交者可以使用 #undef 轻松恢复它们的效果:)