Exécuter C++ dans VM, en toute sécurité

Question

Ainsi, je fais une application en ligne que l'utilisateur peut soumettre le code et la sortie sera montrée à l'utilisateur. J'ai fait de la sécurité une priorité absolue et ont pris les mesures suivantes pour vous assurer que le code fonctionne correctement:

• Exécution du code sur une machine virtuelle, sur un VPS qui est utilisé seulement pour exécuter ces machines virtuelles. Ces machines virtuelles n'autorisent aucun réseau ou accès au fichier après le répertoire de travail.

• En utilisant les G ++ suivants drapeaux:

  -O -std=c++98 -pedantic-errors -Wfatal-errors -Werror -Wall -Wextra -Wno-missing-field-initializers -Wwrite-strings -Wno-deprecated -Wno-unused -Wno-non-virtual-dtor -Wno-variadic-macros -fmessage-length=0 -ftemplate-depth-128 -fno-merge-constants -fno-nonansi-builtins -fno-gnu-keywords -fno-elide-constructors -fstrict-aliasing -fstack-protector-all -Winvalid-pch 
  

Ma question je pense est vraiment comment puis-je faire cela plus sûr? Avez-vous personnellement des problèmes avec cette approche?

Answer 1

Les indicateurs du compilateur n'ont pas vraiment d'importance. Un programme C++ avec ces indicateurs peut faire la même chose qu'un programme C++ compilé avec n'importe quel autre ensemble d'indicateurs. En particulier, il existe des dizaines de façons de retirer un comportement indéfini et, oui, d'exploiter potentiellement les failles de sécurité qui peuvent exister dans le système d'exploitation.

Vous exécutez un code non fiable, la fin de l'histoire. Vous pouvez espérer que le système d'exploitation ne sera pas compromis, que le code ne sera pas en mesure d'obtenir de nouvelles autorisations ou même de s'exécuter en tant que root, ou encore de perturber le système.

Et vous pouvez espérer que si cela se produit, il sera toujours contenu dans la machine virtuelle et ne sera pas en mesure d'affecter l'hôte.

Mais c'est toujours un code non fiable, et il peut faire n'importe quoi que le code non fiable pourrait faire. Le mieux que vous puissiez faire est de vous assurer qu'il fonctionne avec un minimum de privilèges, et que le système d'exploitation et le logiciel de virtualisation sont tous deux corrigés à 100%.

Bien sûr, avec les restrictions que vous mentionnez, ma première question est: «Y a-t-il quelque chose qui m'empêche de remplir le disque dur avec de la camelote? Ok, je ne peux pas écrire en dehors du répertoire de travail, mais je peux toujours faire en sorte que le disque manque d'espace. Ou y a-t-il un quota de disque ou quelque chose d'appliqué? Que diriez-vous de limiter la quantité de temps processeur que j'utilise? Serai-je capable d'utiliser toutes les ressources sur la machine, le rendant non-sensible?

Answer 2

Si vous utilisez Linux pour exécuter le code que vous pouvez améliorer la sécurité de votre VM en redéfinissant certaines fonctions potentiellement dangereuses comme: open(...), fopen(...), socket(...), et ainsi de suite à l'aide LD_PRELOAD.

Answer 3

AnVous pouvez utiliser la sécurité au niveau de l'utilisateur. Vous exécutez du code natif, ce qui signifie que votre code peut faire tout ce que l'utilisateur peut faire. Donc, limiter ce que l'utilisateur peut faire. Ajoutez la restriction "pas de réseau, pas d'accès aux fichiers en dehors du répertoire de travail" à la restriction des utilisateurs. Vous garderiez toujours la règle de VM, bien sûr, mais vous préféreriez attraper ces choses tôt.

Puisque vous parlez de GNU, je suppose un système Linux. Vous voudriez alors une machine virtuelle SELinux. Tout ce que vous ajoutez à la machine virtuelle pourrait être compromis, alors ignorez-le. Il n'y a probablement pas besoin d'installer un serveur X, etc.

Answer 4

Jetez un oeil à http://code.google.com/p/nativeclient/