锁定程序，使其无法访问外部文件，就像病毒扫描程序一样

Question

我想以编程方式启动一个不受信任的应用程序，因此我想删除该程序访问文件、网络等的能力。本质上，我想限制它，使其与计算机其余部分的唯一接口是标准输入和标准输出。

我可以这样做吗？最好以跨平台的方式，但我希望对每个操作系统都采取不同的做法。我正在使用Python，但如果有必要，我愿意用较低级别或更平台集成的语言编写这部分。

我需要这样做的原因是编写一个分布式计算基础设施。它需要下载一个程序，执行它，将数据传输到标准输入，并将在标准输出上接收到的数据返回到中央服务器。但由于它下载的程序不受信任，我想将其限制为仅使用标准输入和标准输出。

Answer 1

是的，你可以这样做。您可以通过 ptrace 运行一个较差的进程（本质上您充当调试器）并挂钩系统调用并确定是否允许它们。

例如，codepad.org 就是这样做的，请参阅：关于 codepad。它使用 geordi 管理程序来执行不受信任的代码。

Answer 2

您可以在 chroot 中运行不受信任的应用程序，并通过 iptables 规则阻止它们使用网络（例如，所有者 --uid-owner 匹配）。

但实际上，虚拟机更可靠，并且对现代硬件性能的影响可以忽略不计。

Answer 3

简短的回答是否定的。

长答案并不是真的。考虑一个 C 程序，其中程序通过抓取下一个可用的文件描述符来打开日志文件。为了阻止这种情况，您的程序需要以某种方式监视并阻止它。根据不受信任程序的稳健性，这可能会导致致命的崩溃，或抑制无害的功能。还有许多其他类似的问题使您想要做的事情变得困难。

我建议查看现有的沙箱解决方案。特别是，虚拟机对于测试不受信任的代码非常有用。如果你找不到任何满足你需求的东西，你最好的选择可能是在内核级别处理这个问题，或者使用更接近硬件的东西，比如 C。