Python code jailing

Question

私はそれらの中に信頼できないWSGI-appsを持つpython-projectsをたくさん持っています。私はそれらをsimulatiously安全に実行する必要があります。ですから、ディレクトリアクセス、Pythonモジュールの使用法、CPUとメモリの制限には制限が必要です。

は、私は2つのアプローチを検討：定義されたファイルからIMP-モジュールWSGI-オブジェクトを経由して

1. インポート、およびpysandboxでそれを実行しています。やったときに今、私はSandboxError: Read only objectを持っている：

   self.config = SandboxConfig('stdout') 
   self.sandbox = Sandbox(self.config) 
   self.s = imp.get_suffixes() 
   wsgi_obj = imp.load_module("run", open(path+"/run.py", "r"), path, self.s[2]).app 
   … 
   return self.sandbox.call(wsgi_obj, environ, start_response) 
   

2. 変更Pythonインタプリタ、ZMQ/Unixソケットを介して通信し、並列プロセスで実行し、潜在的に危険なモジュールを、除外する。私はここでどこから始めるべきかも知らない。

お勧めできますか？

Answer 1

アプリケーションごとに別々のプロセスと設定で、ユーザーレベルの権限（別のユーザーの信頼できないアプリケーション）を使用して、アプリケーションをgunicornで実行します。それぞれのgunicornインスタンスは、ユーザ範囲のポート上でlocalhost上で動作し、nginxや別のWebサーバがそれらをWebにルーティングして提供するためにそれらに接続できます。

Herokuはこれをさらに進化させ、仮想マシン内の各gunicornインスタンス（またはユニコーンまたはApacheまたは任意の他のサーバー）をサンドボックス化します。これはおそらく最も安全な可能な方法であり、確かにCPUとメモリの使用を確実に制限するための最良のオプションですが、要件に応じてそれを遠くにする必要はありません。

このようなアプローチの利点の1つは、必要に応じて各アプリケーションを異なるバージョンのPythonで実行できることです。仮想マシンサンドボックスでは、異なるオペレーティングシステムでも実行できます。

編集：VMサンドボックスアプローチを使用せずにメモリ使用を制限するには、this questionを参照してください。 CPU使用量を制限するには、gunicornの設定を調整します。アプリケーションが使用できるコアごとに1つのgevent-styleワーカーをスピンアップします。

もう一度編集：1つの全く異なるアプローチは、PyPy's sandboxing mechanismを使用することです。CPythonとサンドボックスモジュールをはるかに安全にする必要があります。しかし、私はguincornまたはgunicorn +仮想マシンの方が好きです。