Запуск C++ в VM, безопасно

Question

Итак, я делаю онлайн-приложение, в котором пользователь может отправить код, и результат будет показан пользователю. Я сделал Security главного приоритета и принял следующие шаги, чтобы убедиться, что код работает надежно:

• Выполнение кода на виртуальной машине, На VPS, что только использование для запуска этой ВМ. Эти виртуальные машины не позволяют подключиться к сети или файлам через рабочий каталог.

• Используя следующие G ++ флаги:

  -O -std=c++98 -pedantic-errors -Wfatal-errors -Werror -Wall -Wextra -Wno-missing-field-initializers -Wwrite-strings -Wno-deprecated -Wno-unused -Wno-non-virtual-dtor -Wno-variadic-macros -fmessage-length=0 -ftemplate-depth-128 -fno-merge-constants -fno-nonansi-builtins -fno-gnu-keywords -fno-elide-constructors -fstrict-aliasing -fstack-protector-all -Winvalid-pch 
  

Мой вопрос я думаю, на самом деле, как я могу сделать это любой более безопасным? Вы лично видите какие-либо проблемы с этим подходом?

Answer 1

Флаги компилятора не имеют большого значения. Программа C++ с этими флагами может выполнять те же действия, что и программа на C++, скомпилированная с любым другим набором флагов. В частности, существуют десятки способов снять неопределенное поведение и да, потенциально используя любые уязвимости безопасности, которые могут существовать в ОС.

Выполняется ненадежный код, конец истории. Вы можете надеяться, что ОС не будет скомпрометирована, что код не сможет получить новые разрешения или даже запустить с правами root или иным образом испортить систему.

И вы можете надеяться, что если это произойдет, оно все равно будет содержаться внутри виртуальной машины и не сможет повлиять на хост.

Но это по-прежнему недоверенный код, и он может делать все, что может сделать ненадежный код. Лучшее, что вы можете сделать, это убедиться, что оно работает с минимальными привилегиями и что программное обеспечение ОС и виртуализации исправлено на 100%.

Конечно, с ограничениями, которые вы упомянули, мой первый вопрос: «есть ли что-нибудь, что помешает мне заполнить жесткий диск хламом?» Итак, я не могу писать за пределами рабочего каталога, но я все еще могу сделать диск исчерпанным. Или существует ли дисковая квота или что-либо принудительное? Как насчет ограничения количества процессорного времени, которое я использую? Смогу ли я использовать все ресурсы на машине, чтобы она не реагировала?

Answer 2

Если вы используете Linux для запуска кода вы могли бы повысить безопасность вашей ВМ, пересматривая некоторые потенциально опасные функции, такие как: open(...), fopen(...), socket(...), и так далее, используя LD_PRELOAD.

Answer 3

AnВы можете использовать защиту на уровне пользователя. Вы используете собственный код, что означает, что ваш код может делать все, что может сделать пользователь. Таким образом, ограничьте то, что пользователь может сделать. Добавьте ограничение «отсутствие сети, без доступа к файлу за пределами рабочего каталога» и ограничения пользователей. Конечно, вы все равно сохраните правило виртуальной машины, но вы предпочтете поймать это раньше.

Поскольку вы упомянули GNU, я возьму систему linux. Тогда вам понадобится SELinux VM. Все, что вы добавляете в VM, может быть скомпрометировано, поэтому пропустите его. Вероятно, нет необходимости устанавливать X-сервер и т. Д.

Answer 4

Посмотрите на http://code.google.com/p/nativeclient/