Какие инструменты есть, чтобы организовать «песочницу» для запуска скриптов?

Question

[pikutaka]

Нужно на отдельной виртуалке организовать "песочницу" в которой будет применяться целый ряд ограничений:
1. Запускаемые скрипты не имеют доступа к сети.
2. Запускаемые скрипты не могут создавать файлы (в идеале - не могут даже читать их).
3. Запускаемые скрипты не могут выделять оперативную память больше указанного лимита.
4. Запускаемые скрипты не могут запускать другие приложения (не могут создавать процессы).
5. Желательно также иметь ограничение за процессорное время.
6. Запускаемые скрипты завершаются по определенному таймауту (если не завершились сами раньше).

Подскажите, пожалуйста, какими инструментами можно получить такую "песочницу"? FireJail, cgroups?

Comments

[SunTechnik]

Скрипт на шелле - это набор команд, которые выполняются последовательно.
Каждая команда - это новый запущенный процесс.

Поэтому скрипт обязан запускать новые процессы.

В текущей постановке задача выглядит странно.
Если скрипт не читает и не пишет, то зачем он нужен?

Напишите какую задачу решаете и на каком языке планируются писать скрипты..

[Drno]

lxc контейнер...

[pikutaka]

Напишите какую задачу решаете и на каком языке планируются писать скрипты..

Нужно организовать песочницу для тестирования скриптов - они будут написаны, например, на php или python.

Answer 1

[pikutaka]

Спасибо за помощь! Пока остановился на FireJail - буквально одна команда с несколькими параметрами и все заработало, кроме ограничения на запись в /home.

Answer 2

[Алексей Черемисин]

Как минимум три варианта (точнее два в одном и один)
- libvirt - полностью изолированная виртуалка
- контейнеры:
- docker
- или lxc/lxd

Answer 3

[lrmpsm53]

Я думаю достаточно будет контейнера. Прокидываем вмнкгр файловую систему на чтение, чтобы выполнить скрипт и не наворотить ничего. PROFIT