Безопасно выполнить скрипт

0

1

Доброго времени суток!

Хочу спросить совета. Есть приложение (C++), которое получает из БД скрипт и должно его выполнить (например запустить какой-либо внешний обработчик). Выполняться может как некоторый скрипт, переданный непосредственно в команде, так и стороннее приложение. Естественно, есть опасения, что в этом скрипте могут оказаться «нехорошие» команды.

Какие разумные механизмы безопасности можно применить в этом случае? Из вариантов я вижу следующие - 1. запуск жестко заданного списка программ (минус - будет работать только для сторонних приложений, но не для скриптов. Если разрешить запуск bash, то получится решето) 2. настройка AppArmor или SELinux (минус - имею только общее представление о них) 3. запуск этих скриптов из собственных «песочниц» или chroot-ов

Спасибо!

Ссылка

←	Можно ли использовать dd для копирования CompactFlash?

c++ fopen в неблокирующем режиме

→

4. Выполнять скрипт в «безопасном» embedded интерпретаторе

Например, про embedded JavaScript что-нибудь слышал? Его как раз для этого придумали, очень давно.

Led ★★★☆☆
(15.06.11 13:30:15 MSK)

Ответ на: комментарий от Led 15.06.11 13:30:15 MSK

+1, и сделать анально огороженое API для внешних систем

~~vertexua~~ ★★★★★
(15.06.11 13:42:46 MSK)

Ссылка

Ответ на: комментарий от Led 15.06.11 13:30:15 MSK

Не слышал, посмотрю. Возможно ли в таких интерпритаторах читать/писать COM-порт или сеть?

Вопрос в том, что скорость критична. Кроме скриптов должна быть возможность выполнить внешнее приложение, и оно возможно без исходника (например утилита к устройству)

Внешнее приложение может работать с устройством одному ему ведомым способом, например через обмен по сети или COM-порту. Поэтому как анально огородить API не представляю

kirichenkoga
(15.06.11 13:54:28 MSK) автор топика

Ссылка

kirichenkoga> которое получает из БД скрипт и должно его выполнить

контролируй то что кладется в БД и исполняй себе спокойно

~~sdio~~ ★★★★★
(15.06.11 14:53:13 MSK)

Ссылка

>2. настройка AppArmor или SELinux (минус - имею только общее представление о них)
Рекомендую tomoyo. При холостом запуске с логированием смотришь, что делает «хороший» скрипт. Потом тупо делаешь политику из лога и «плохой» скрипт будет ограничен теми же файлами/программами, что и «хороший».

x3al ★★★★★
(15.06.11 14:59:17 MSK)