Я хочу создать веб-сервис, который локально запускает чужой код. Естественно, я хочу ограничить доступ их кода к определенному каталогу песочницы, чтобы они не могли подключаться к другим частям моего сервера (БД, основной веб-сервер и т. Д.)
Как лучше всего это сделать?
Запустите VMware / Virtualbox:
+ Думаю, это максимально безопасно. Даже если кому-то удастся взломать, они взломают только гостевую машину
+ Может ограничивать процессор и память, которые используют процессы
+ Простота настройки - просто создайте виртуальную машину
- Сложнее подключить каталог песочницы от хоста к гостю
- Трата дополнительной памяти и ЦП для управления виртуальной машиной
Запуск непривилегированного пользователя:
+ Не тратит лишние ресурсы
+ Каталог песочницы - это просто простой каталог
? Не можете ограничить ЦП и память?
? Я не знаю, достаточно ли это безопасно
По-другому?
Сервер под управлением Fedora Core 8, остальные коды написаны на Java и C ++.