স্যান্ডবক্স পরিবেশ হিসাবে এলএক্সসি পাত্রে

9

আমি বর্তমানে একটি সুরক্ষিত স্যান্ডবক্স পরিবেশে অবিশ্বস্ত প্রোগ্রাম (শিক্ষার্থীর কার্যভার) মূল্যায়নের একটি প্রকল্প শুরু করছি। মূল ধারণাটি হ'ল গ্লাসফিশ এবং জাভা র‍্যাপারের জন্য এলএক্সসি পাত্রে পরিচালনার জন্য lxc-utils এর চারপাশে একটি ওয়েব অ্যাপ তৈরি করা। এটিতে ওয়েটিং প্রোগ্রামগুলির একটি সারি থাকবে এবং একটি জাভা রেপার প্রতিটি প্রোগ্রামকে একটি (অব্যবহৃত) ধারক বরাদ্দ করে এলএক্সসি পাত্রে একটি নির্দিষ্ট নম্বর (পুল) বজায় রাখবে।

হোস্ট সিস্টেমটি সুরক্ষার জন্য প্রতিটি পাত্রে SELinux দিয়ে সুরক্ষিত করা উচিত।

আমার প্রশ্নটি হ'ল: স্যান্ডবক্স পরিবেশের জন্য এই জাতীয় ব্যবস্থা তৈরি করা কি ভাল ধারণা, না এই সমস্যার আরও ভাল কোনও উপযুক্ত সমাধান আছে? এটি ছাত্র সৃজনশীলতার বিরুদ্ধে হালকা এবং সুরক্ষিত হওয়া উচিত।

security  selinux  lxc  sandbox  container 
eXPi
সূত্র

উত্তর:

6

আপনি সবচেয়ে বেশি সুরক্ষিত ভার্চুয়ালাইজেশন সমাধান না হওয়ায় আপনি এলএক্সসি কেন বেছে নেন তা লিখেনি। আমি কেভিএম / এক্সএন এবং এলএক্সসি-র ভারী ব্যবহারকারী এবং আমি এই একটি কথা বলতে পারি যে এটি সুরক্ষার কথা বলতে গেলে আমি কখনই লিনাক্স ধারকগুলির সাথে যাই না (এলএক্সসি / ওপেনভিজেড / ভিএসভার যাই হোক না কেন)। কেভিএম / এক্সএন এর সাথে এটি কেবল সহজ (এবং আরও নির্ভরযোগ্য)।

এটি যদি পারফরম্যান্স বা হার্ডওয়্যার প্রয়োজনীয়তার বিষয়ে থাকে তবে ঠিক আছে - আপনি LXC দিয়ে চেষ্টা করতে পারেন, তবে কিছু নিয়ম আপনার অনুসরণ করা উচিত:

  • যখন SELinux- র (LXC_driver ধন্যবাদ) ব্যবহার করে libvirt দ্বারা পাত্রে কঠোর কারাবাস নিশ্চিত করে - না নিশ্চিত যদিও থাকেন তাহলে সেটি শুধুমাত্র RHEL / CentOS / ফেডোরা ক্ষেত্রে (আমি ব্যবহার করি না উবুন্টু / ডেবিয়ান যে কত) https://www.redhat.com/archives /libvir - list / 2012- জানুয়ারী / এমএসজি01006 এইচটিএমএল - সুতরাং সেলইনাক্সের সাথে যাওয়া ভাল ধারণা (আমার মতে এ জাতীয় পরিস্থিতিতে "এটি অবশ্যই" থাকা উচিত)
  • কঠোর সিগ্রুপের নিয়মগুলি সেট করুন যাতে আপনার অতিথিরা আপনার হোস্টকে হিমায়িত করে না বা অন্য পাত্রে প্রভাবিত করে না
  • আমি বরং LVM ভিত্তিক ধারকগুলির সাথে যেতে চাই - এটি সর্বদা "সুরক্ষা" এর আরও একটি স্তর
  • নেটওয়ার্ক সমাধান এবং আর্কিটেকচার সম্পর্কে চিন্তা করুন। এই পাত্রে কি একে অপরের সাথে যোগাযোগ করতে হবে?

পড়া দিয়ে শুরু করুন এই - এটা বেশ পুরানো, কিন্তু এখনও - অনেক জ্ঞান আছে। এবং এছাড়াও - ব্যবহারকারীর নেমস্পেসগুলি পূরণ করুন

এবং তার পরেও আবার ভাবেন - এলএক্সসি সুরক্ষার সাথে খেলার জন্য আপনার কি সত্যিই এতটা সময় আছে? কেভিএম ঠিক এত সহজ ...

ম্যাকিয়েজ লাসেক
সূত্র
সবার আগে, উত্তরের জন্য ধন্যবাদ। আমি এলএক্সসি পছন্দ করি কারণ আমার কিছু হালকা দরকার, এবং এটি কেভিএমের অভ্যন্তরে চলবে। কেভিএমের ভিতরে কেভিএম চালানো সম্ভব?
এক্সপিআই
1

অবিশ্বস্ত প্রোগ্রাম চালনার জন্য লিনাক্সের নেমস্পেসগুলি এখনও সেরা সমাধান। কেভিএমের চেয়ে সেট আপ করা সহজ, এবং এর জন্য কম সংস্থান দরকার। আপনি LXC চেষ্টা করতে পারেন, তবে সম্পূর্ণ লিনাক্স বিতরণ চিত্র চালানোর জন্য LXC আরও জেনেরিক স্যান্ডবক্স হিসাবে তৈরি হয়েছিল build লিনাক্সের আরও দুটি নেমস্পেস স্যান্ডবক্স মনে আসে:

  • গুগল ক্রোম স্যান্ডবক্স, বর্তমানে গুগল ক্রোম / ক্রোমিয়ামের সাথে বিতরণ
  • Firejail , একটি নিরাপত্তা স্যান্ডবক্স মোজিলা Firerfox এবং অন্য কোন গুই প্রোগ্রাম চালানোর জন্য নির্মিত।
netblue
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.