एक सैंडबॉक्स पर्यावरण के रूप में LXC कंटेनर

9

मैं वर्तमान में एक सुरक्षित सैंडबॉक्स वातावरण में अविश्वसनीय कार्यक्रमों (छात्र असाइनमेंट) का मूल्यांकन करने वाली एक परियोजना शुरू कर रहा हूं। मुख्य विचार LXC कंटेनरों को प्रबंधित करने के लिए lxc-utils के आसपास GlassFish और Java आवरण के लिए एक वेब ऐप बनाना है। यह प्रतीक्षा कार्यक्रमों की एक कतार होगी और एक जावा आवरण एलएक्ससी कंटेनरों की एक निश्चित संख्या (पूल) को बनाए रखेगा, प्रत्येक प्रोग्राम को एक (अप्रयुक्त) कंटेनर को निर्दिष्ट करेगा।

प्रत्येक कंटेनर को होस्ट सिस्टम की सुरक्षा के लिए SELinux के साथ सुरक्षित किया जाना चाहिए।

मेरा सवाल है: क्या सैंडबॉक्स पर्यावरण के लिए इस तरह का तंत्र बनाना एक अच्छा विचार है, या इस समस्या का कोई बेहतर फिटिंग समाधान है? यह छात्र की रचनात्मकता के खिलाफ हल्का और सुरक्षित होना चाहिए।

security  selinux  lxc  sandbox  container 
eXPi
स्रोत

जवाबों:

6

आपने यह नहीं लिखा कि आप एलएक्ससी को क्यों चुनते हैं क्योंकि यह सबसे सुरक्षित वर्चुअलाइजेशन समाधान नहीं है। मैं KVM / XEN का भारी उपयोगकर्ता हूं और LXC भी हूं और मैं यह एक बात कह सकता हूं कि जब सुरक्षा की बात आती है तो मैं कभी भी लिनक्स कंटेनर (अगर LXC / OpenVZ / VServer से कोई फर्क नहीं पड़ता) के साथ जाता हूं। यह KVM / XEN के साथ आसान (और अधिक विश्वसनीय) है।

यदि यह प्रदर्शन या हार्डवेयर आवश्यकताओं के बारे में है तो ठीक है - आप LXC के साथ प्रयास कर सकते हैं, लेकिन कुछ नियम हैं जिनका आपको पालन करना चाहिए:

  • libvirt कंटेनरों का कड़ाई से निर्गमन सुनिश्चित करता है जब SELinux (LXC_driver के लिए धन्यवाद) का उपयोग करते हुए - सुनिश्चित नहीं है कि यदि यह केवल RHEL / Centos / Fedora केस है (मैं उबंटू / डेबियन का उपयोग नहीं करता हूं) https://www.redit.com/archives /libvir-list/2012-January/msg01006.html - तो SELinux के साथ जाना एक अच्छा विचार है (मेरी राय में ऐसी परिस्थितियों में "होना चाहिए")
  • सख्त समूह नियम निर्धारित करें ताकि आपके मेहमान आपके मेजबान को फ्रीज़ न करें या अन्य कंटेनरों को प्रभावित न करें
  • मैं एलवीएम आधारित कंटेनरों के साथ जाना चाहता हूं - यह हमेशा "सुरक्षा" की एक और परत है
  • नेटवर्क समाधान और वास्तुकला के बारे में सोचें। क्या उन कंटेनरों को एक दूसरे के साथ संवाद करना है?

इसे पढ़ने के साथ शुरू करें - यह काफी पुराना है, लेकिन फिर भी - वहां बहुत ज्ञान है। और यह भी - उपयोगकर्ता नामस्थानों को पूरा करें

और उस सब के बाद फिर से सोचें - क्या आपके पास LXC सुरक्षा के साथ खेलने के लिए वास्तव में इतना समय है? KVM सिर्फ इतना सरल है ...

मैकीज लास्क
स्रोत
सबसे पहले, उत्तर के लिए धन्यवाद। मैं एलएक्ससी का चयन करता हूं क्योंकि मुझे कुछ प्रकाश की आवश्यकता है, और यह केवीएम के अंदर चलेगा। KVM के अंदर KVM चलाना संभव है?
eXPi
1

अविश्वसनीय प्रोग्राम चलाने के लिए लिनक्स नेमस्पेस अभी भी सबसे अच्छा समाधान है। केवीएम की तुलना में इसे स्थापित करना आसान है, और इसके लिए कम संसाधनों की आवश्यकता होती है। आप एलएक्ससी की कोशिश कर सकते हैं, हालांकि पूर्ण लिनक्स वितरण छवियों को चलाने के लिए एलएक्ससी एक अधिक सामान्य सैंडबॉक्स के रूप में बनाया गया था। दो अन्य लिनक्स नेमस्पेस सैंडबॉक्स का ख्याल आता है:

  • Google Chrome सैंडबॉक्स, वर्तमान में Google Chrome / Chromium के साथ वितरित किया गया है
  • फायरजेल , एक सुरक्षा सैंडबॉक्स जो मोज़िला फ़ेरफॉक्स और किसी अन्य जीयूआई प्रोग्राम को चलाने के लिए बनाया गया है।
netblue
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.