我正在创建一个类似于键盘的Web应用程序,对于每个运行操作,我的应用程序将目录(/ home / radeks / voidptr / private / chroot-root)复制到/ tmp / voidptr / [random-id] / chroot-root.此chroot目录具有编译和运行Web应用程序用户输入的代码的用户.问题是我不希望用户关闭机器或使用套接字.
我是否需要编写主管或者我是否可以为每个用户设置这些权限?
解决方法:
Chroot仅限制文件系统访问.如果你有root权限,chroot只是一个不便,而不是一个安全的限制.普通用户可以使用套接字但不能关闭机器.
有一些方法可以限制用户可以做什么:功能,AppArmor,SELinux,……但到目前为止,最简单的方法是将webapp用户限制在虚拟机上.您可以轻松地限制网络连接和资源使用等内容.对于您的用例,轻量级Linux-on-Linux vm技术似乎最好:类似于OpenVZ,user-mode Linux或Vserver.