Чего достаточно чтобы организовать песочницу в Windows?
Стоит задача: запускать на серваке потенциально абсолютно любые программы по расписанию (ака безумный кролик). на самом деле билды, но в реалиях всегда найдутся упыри, загрузившие вирус или еще что в целях образования сис админа. Так вот вопрос: что можно сделать чтобы обезопаситься? Программно, используя API разных подсистем Windows.
Что есть сейчас:
— Создание под запуск программы аккаунта Винды
— Настройка аккаунта: для всех дисков начиная от корня нельзя делать ничего. Для отдельной, выделенной папки можно делать все
— Включение квоты жесткого диска на 20 мегабайт (должно хватить всем (С))
Т.е. по сути предыдущие пункты — обезопасились от переполнения ЖД и доступа в несанкционированные места. Что путает — могут создать бесконечный цикл на чтение и повесить систему.
Далее — память:
— Включение квоты на оперативную память и файл подкачки — 20 мегабайт. (чтобы не навыделяли и не повесили систему)
— Запрет на использование объектов ядра чужих процессов (чтобы не лазили в чужую память)
— Запрет на отключение питания и разлогинирование (ну… понятно для чего)
Я бы запускал виртуалки в hyper-v, vmware, virtualbox.
в случае ESXI /hyper-v core mode влезть в гипервизор вообще не получится.
Опять же, в случае чего — откат на снапшот где чистенькая/готовенькая система за вменяемое время — и игры с новыми билдами.
Меня в данном варианте пугает только цена вопроса хостинга. Если запускать около 50-ти виртуалок и около 50-ти процессов, то мне кажется, что второй вариант минимум раза в 2 легковеснее по ресурсам. Если мне надо отрабатывать одновременно до 100 процессов одновременно, то какой хостинг мне понадобится? не понятно.
Про веб и хостинг Вы не говорили ни слова. Я предположил что сервер стоит где-то у Вас. ESXI бесплатен с ограничением 32гб памяти на все виртуалки и помоему, один физический процессор.
Hyper-v — бесплатен в отдельном варианте — win2008r2+core mode + hyper-v, не помню, как зовется редакция,
виртууалбокс и vmware player — тоже бесплатны
Простой
