linux容器安卓下载,一个基于容器化技术的沙箱

最新推荐文章于 2024-06-06 09:41:11 发布
最新推荐文章于 2024-06-06 09:41:11 发布
阅读量429 收藏
点赞数
文章标签: linux容器安卓下载

## 起源

本项目原本的目的是用 GO 重构之前参与过的一个 OJ 的评测系统,目前完成了沙箱的部分分享一下。

## 需求

评测系统通常需要对提交的代码进行编译和运行。通常运行的算法代码并不需要特殊的权限和系统访问。沙箱需要限制住恶意代码对于评测系统运行的可能的破坏行为。

一个沙箱的实现包含了:

+ 安全: 沙箱内的程序不允许进行超出计算需求的系统访问。包括网络访问,未授权的文件系统访问。

+ 限制: 沙箱内的程序仅能使用限定的 CPU 时间和 内存

+ 快速: 运行时的额外开销小

## 实现选择

### 基于 `seccomp` `ptrace` + `setrlimit` 的沙箱

利用 linux 提供的 BPF seccomp,允许安全的 `syscall` (如 `write` 运行)。对于文件系统访问的 `syscall` (如 `open`),利用 linux 提供的 `ptrace` 和 `process_vm_readv` 读取沙箱中程序系统调用参数的值获取文件访问的路径。得到路径之后用白名单的形式判断是否为恶意访问。CPU 时间和内存的限制由 `setrlimit` 设置。

优点:实现简单,不需要权限

缺点:对于每一个文件访问系统调用都需要上下文切换,大概 `20%` 额外开销

### 基于 `unshare` `clone` 和 `cgroup` 的沙箱

得益于容器技术的进步,linux 的 `clone` 和 `unshare` 系统调用可以在与宿主机隔离的环境中运行程序的能力。利用 `clone` 系统调用创建新的 `mount`, `IPC`, `net`, `pid`, `user`, `uts` `namespace`。在运行程序之前通过 `bind mount` 和 `pivot_root` 来隔离运行环境的文件系统。用 `cgroup` 的 `cpuacct.usage` 轮询 和 `memory.limit_in_bytes` 实现CPU 时间和内存的限制。

优点:没有上下文切换的开销。`cgroup` 统计数据更准确

缺点:`cgroup` 需要 `root` 权限。`unshare clone` 有 `20 ms` 的额外开销

### 改进后的容器池

为了减少创建容器的开销,用类似 `linux daemon` 的思想创建在容器中运行的 “客户端” 由在宿主机上运行的 “控制端” 控制。这样由 “客户端” 运行的程序就不需要重新创建容器的文件系统。跨进程通信使用了 `socketpair` 创建的 `unix socket` 并由 `gob` 编码。同时为了减少文件由 `socket` 内容传递所产生的多次复制, 利用 `unix socket oob` 可以传送文件描述符的特性直接传送文件 `fd`。

Exec Command

![UML](https://github.com/criyle/criyle.github.io/raw/master/images/sandbox.png)

这样用类似 RPC 的方式实现了程序生命周期的控制。同时提供了 `open`, `delete`, `reset` command 进行文件操作。

优点:减少了创建容器的额外开销

缺点:需要 `root` 权限或者 `privilleged docker`

GitHub: [Sandbox的实现](https://github.com/criyle/go-sandbox)

## Rest API 接口

基于容器化技术的沙箱需要用 `root` 权限或者 `privilleged docker` 来运行,但是评测系统的逻辑并不需要 `root` 权限。基于权限最小化原则,把沙箱单独拆分出来以 REST API 的形式提供服务。

Web 框架使用了 [GIN](https://github.com/gin-gonic/gin)。提供了文件的 CRUD `/file` 和运行单个或者多个程序(用管道链接标准输入输出)的 `/run`。

GitHub: [ExecutorServer的实现](https://github.com/criyle/go-judge)

`go get github.com/criyle/go-judge/cmd/executorserver && sudo ~/go/bin/executorserver`

### 跨平台

设计好 REST API 接口后发现似乎并没有太大的平台相关性。借助于 duck interface 的特性,在 windows 上使用 `low mandatory level token` + `JobObject` 简单的实现了一个沙箱作为跨平台的一个验证。

### 跑分

用 `go test -bench` 测试大概有 `+1ms (2.06ms - 0.99ms)` 额外开销。用 postman 测试 REST API 大概 `+5ms` 额外延迟。

## demo

用 Vue.js 和 WebSocket 简单糊了个小测试站。前端放在 heroku 上,后端部署在性能很菜的树莓派上。[goj.ac](https://goj.ac)。

## 最后

原本的目的是为了写点代码来学习 GO 语言。然后在学习过程中重构了几次沙箱后学到了不少工程方面的设计知识,写一个库和用一个库的心态也有很大区别。

沙箱的部分实现也可以拿出来单独使用。

+ [forkExec](https://github.com/criyle/go-sandbox/tree/master/pkg/forkexec) linux fork exec 核心库,用来创建容器和加载 Seccomp BPF

+ [unixSocket](https://github.com/criyle/go-sandbox/tree/master/pkg/unixsocket) linux unix socket 传递接收文件描述符

+ [memFd](https://github.com/criyle/go-sandbox/tree/master/pkg/memfd) linux memfd 创建内存文件

+ [container](https://github.com/criyle/go-sandbox/tree/master/container) linux 容器池的实现

+ [envExec](https://github.com/criyle/go-judge/tree/master/pkg/envexec) 在环境中运行单个或多个程序的定义和实现

授权协议:开发语言:操作系统:

weixin_39760619
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Sublinux】Station P1在Android上使用容器Docker
bassersai的专栏
07-28 520
Sublinux是通过Android上使用chroot打造的Linux运行环境,让Station可同时使用Android、Linux的应用和Docker容器服务。Docker简介Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器或Windows 机器上,也可以实现虚拟容器是完全使用沙箱机制,相互之间不会有任何接口。 Station P1 在Android上提供了Docker的运行环境,支持同时运行Android应用和Do.
Android容器和虚拟.pdf
01-20
在IT行业中,Android容器和虚拟是两个关键的技术领域,特别是在移动应用开发和服务器管理中。本文将深入探讨这两个概念,以及它们如何在Android平台上相互作用。 首先,我们来了解**Android容器**。容器是一种轻...
linux容器安卓下载,Docker 1.3.3/1.4.0 发布下载Linux 容器引擎
weixin_32822089的博客
05-13 350
Docker 1.3.3 发布,下载地址:改进记录包括:SecurityFix path traversal vulnerability in processing of absolute symbolic links (CVE-2014-9356)Fix decompression of xz image archives, preventing privilege escalation (CV...
探索安全的代码执行新天地:go-sandbox 深度解析与推荐
最新发布
gitblog_00020的博客
06-06 948
探索安全的代码执行新天地:go-sandbox 深度解析与推荐 项目地址:https://gitcode.com/criyle/go-sandbox 在软件开发的浩瀚宇宙中,安全地运行第三方代码是一项挑战性的任务。今天,我们将深入探讨一个名为 go-sandbox 的开源项目,它是用 Go 语言精心打造的安全执行环境,旨在为开发者提供可靠且高效的程序隔离解决方案。 项目介绍 go-sandbox ...
Linux安卓容器,【Sublinux】Station P1在Android上使用容器Docker
weixin_42514736的博客
05-13 516
Sublinux是通过Android上使用chroot打造的Linux运行环境,让Station可同时使用Android、Linux的应用和Docker容器服务。Docker简介Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器或Windows 机器上,也可以实现虚拟容器是完全使用沙箱机制,相互之间不会有任何接口...
Linux容器运行Android,Collabora宣布SPURV项目,在Wayland支持的Linux桌面上运行Android应用程序...
weixin_39846186的博客
05-01 331
Collabora宣布了一个新项目,该项目允许Linux用户在Wayland显示服务器的Linux桌面环境上运行Android应用程序。在GNU/Linux计算机上运行Android应用程序甚至Android移动操作系统开始成为现实,因为像Arne Exton这样的开发人员发布了两个版本,可让您在PC上运行最新的Android 9.0 Pie,以及Raspberry Pi设备。Collabora以...
linux容器安卓下载,Docker 1.7.0 发布下载Linux 容器引擎
weixin_39644494的博客
05-13 99
Docker 1.7.0 正式版发布下载,此版本主要更新信息如下:Runtime:Experimental feature: support for out-of-process volume pluginsThe userland proxy can be disabled in favor of hairpin NAT using the daemon’s --userland-proxy=f...
【Android 日常问题】Android 虚拟技术分析论文
04-02
"基于 LXC 的 Android 系统虚拟技术.pdf"聚焦于Linux容器技术在Android上的应用,LXC提供了一个轻量级的虚拟解决方案,它不涉及硬件模拟,而是通过操作系统的命名空间和控制组(cgroups)来隔离资源,这在资源...
基于沙盒技术的企业移动应用安全平台设计
01-27
为增强Android系统的安全性,基于沙盒的解决方案,如VirtualApp,引入了应用虚拟技术。VirtualApp创建了一个虚拟空间,使得多个应用可以在同一个环境中并行、隔离地运行。这种方式利用了Linux的多用户机制,每个...
linux-mkcontainer由make和systemdnspawn支持的Linux轻量级容器生成器
08-13
在实际使用中,开发者可以克隆或下载这个压缩包,然后根据`Makefile`的指示进行编译和运行,创建自己的轻量级Linux容器。 总之,`linux-mkcontainer`是基于`make`和`systemd-nspawn`的轻量级容器生成方案,它简了...
android-apps:Android 应用程序开发的学习沙箱
06-19
本项目"android-apps:Android 应用程序开发的学习沙箱"是一个专门为初学者和有经验的开发者提供的实践平台,旨在帮助他们磨练Android应用开发的技能。在这个沙箱中,你可以找到各种示例代码、练习和项目,来深入了解...
go-sandbox:使用容器ptrace seccomp在GO中实现的沙箱
03-29
沙盒 最初的目标是使用以GO语言复制 。 随着技术的发展,它还实现了包括Linux名称空间和cgroup在内的新技术。 rootfs和间隔CPU使用率检查的思想来自 ,而池的预分支容器来自 。 注意:仅在Linux上可用,因为ptrace,unshare,cgroup仅在Linux上可用 编译安装 从安装最新的go编译器 安装libseccomp库:(对于Ubuntu) apt install libseccomp-dev 构建并安装: go install github.com/criyle/go-sandbox/... 技术领域 libseccomp + ptrace(改进的UOJ沙箱) 受POSIX rlimit限制的计算资源:时间和内存(堆栈)和输出 受限的系统调用访问权限(通过libseccomp和ptrace) 受限的文件访问(读,写,访问和执行)。 由UOJ
基于SpringBoot+SpringCloud+Vue的在线代码评委系统(OJ)源码+数据库+项目说明.zip
01-09
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 基于SpringBoot+SpringCloud+Vue的在线代码评委系统(OJ)源码+数据库+项目说明.zip # README-CN # OJ系统 开始开发 ## 环境准备 ​ 运行此程序必须要有**Ubuntu**系统, ​ Linux 内核版本 >= 3.10 ​ jdk1.8版本, ​ mysql8.0, ​ redis。 ### go-judge系统运行 **gojudge所需要的端口是5050** <a href="">go_judge手册</a>. 在Docker上运行 ~~~bash docker run -it --rm --privileged --shm-size=256m -p 5050:5050 criyle/executorserver ~~~ #### c/c++语言环境测试 **接下来我们打开postman进行测试已post形式发送请求http://IP:5050/run携带参数** ~~~java { "cmd": [{ "args": ["/usr/bin/g++", "Main.cc", "-o", "a"], "env": ["PATH=/usr/bin:/bin"], "files": [{ "content": "" }, { "name": "stdout", "max": 10240 }, { "name": "stderr", "max": 10240 }], "cpuLimit": 10000000000, "memoryLimit": 104857600, "procLimit": 50, "copyIn": { "Main.cc": { "content": "#include <iostream>\nusing namespace std;\nint main() {\nint a, b;\ncin >> a >> b;\ncout << a + b << endl;\n}" } }, "copyOut": ["stdout", "stderr"], "copyOutCached": ["Main.cc", "a"], "copyOutDir": "1" }] } ~~~ **我们服务器会给我们返回** ~~~bash [ { "status": "Accepted", "exitStatus": 0, "time": 726910000, "memory": 55812096, "runTime": 787566071, "files": { "stderr": "", "stdout": "" }, "fileIds": { "Main.cc": "4EK46KIB", "a": "LR567VHA" } } ] ~~~ **接下来我们根据Main的Id对他进行run** ~~~bash { "cmd": [{ "args": ["a"], "env": ["PATH=/usr/bin:/bin"], "files": [{ "content": "1 1" }, { "name": "stdout", "max": 10240 }, { "name": "stderr", "max": 10240 }], "cpuLimit": 10000000000, "memoryLimit": 104857600, "procLimit": 50, "strictMemoryLi
开源项目-vn-ki-go-judge.zip
09-04
开源项目-vn-ki-go-judge.zip,I wrote a program executor (judge?) to learn go. Would love some feedback.
HOJ项目部署(前后端及其判题机)
胖虎虎
04-12 5258
运行nacos.sql文件创建好naos数据库后,在数据库的users表中修改nacos的用户名和密码,由于nacos密码为加密后的密码,下面给出字符串“nacos”的加密后对应的字符串。将nacos中的judge-token配置copy到application-prod.yml中,否则会自动生成。修改nacos的配置文件,在conf文件夹内的application.properties里解开对应行的注释。会根据前端项目的依赖关系下载好相关的组件,存在项目目录的node_modules文件夹下。
Go -- 测试 and 项目实战
IT OR 考公?
08-02 1420
单元测试,Mock测试,基准测试 And 项目实战
go语言简介与安装
94小菜
11-02 170
目录go语言简介下载安装报错问题 go语言简介 应用:区块链、云计算 特点:开发快(静态语言),运行快(高并发),无技术债(编译执行) 项目:k8s、docker、Caddy、CockroachDB数据库 设计初衷: 针对其他语言痛点设计、 加入并发编程、为大数据,微服务并发而生的通用编程语言 项目转型首选、人转型首选、添加技术栈首选语言 Go特别之处:有接口、函数式变成、CSP并发模型(goroutine + channel) 下载 地址:https://studygolang.com/dl 根据使用
ExecutorService 详解 -- 执行器服务(线程池)
KevinChen2019的博客
07-31 1517
前言 ExecutorService是Java提供的线程池,也就是说,每次我们需要使用线程的时候,可以通过ExecutorService获得线程。它可以有效控制最大并发线程数,提高系统资源的使用率,同时避免过多资源竞争,避免堵塞,同时提供定时执行、定期执行、单线程、并发数控制等功能,也不用使用TimerTask了。 1、线程池是为了避免服务端大量线程的创建和销毁而造成资源的浪费 2、线程池创建好之...
php 编写 online judge,5.从0实现Online Judge(go语言)-Runner和监控程序的实现
weixin_42320493的博客
03-29 155
runner的实现runner主要分为三部分脚本运行,运行前脚本,运行时脚本,清理脚本运行前脚本echo "before run..,user $2 run $1"chown $2 ../$1 -Rchmod 700 ../$1 -R此处会把运行的用户和目录给脚本,脚本需要把文件所有者改为运行的用户,保证运行的用户之间不能相互读取各自的文件数据。运行时脚本echo "c run...$1"list...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值