如何限制Python脚本，以便访问本地资源？

Question

我正在开发一个项目，该项目允许用户将 python 脚本上传到 API 并按计划运行它。目前，我正在尝试找出一种方法来限制脚本的功能，使其无法访问本地文件、扰乱运行 API 的 Flask 服务器等。您对我如何实现这一目标有什么想法吗？有没有办法让只有特定的库可用于导入？

Answer 1

在服务器上运行其他脚本是严重的安全问题。如果您尝试在Web应用程序上部署Python解释器，则可以尝试使用 judge0 -github 。如果您自己部署它，它是免费的，并且可以安全地在容器中运行脚本。

Answer 2

最简单的方法是确保运行脚本的用户不是root，而是专门为此任务设计的用户（例如，只能读取而不写或执行的组的一部分）。这意味着至少应确保所有文件具有适当的模式。然后，您可以使用管道或某些内容来运行脚本。

另外，您可以使用不是“本地”的运行时，例如VM或Compute Service（AWS Lambda等）。后者将是最简单的，并且有很多供应商使用程序化API提供计算服务。