Tag: 沙箱

将文件作为参数发送到容器以便进行编译会导致问题: 将文件发送到docker容器以便编译和执行时，我遇到了一些问题。在运行命令的文件夹中，我有一个“编译器”文件夹和一个file.cpp（一个基本的Hello World），我使用这个命令： sudo docker运行–rm -it -v / compiler / dockcompiler file.cpp 这是输出： useradd：警告：主目录已经存在。不从skel目录复制任何文件到它。 chgrp：无法访问'/ code'：没有这样的文件或目录chmod：无法访问'/ code'：没有这样的文件或目录文件不存在我的Dockerfile： FROM ubuntu RUN apt-get update RUN apt-get install -y gcc g++ ADD entrypoint.sh entrypoint.sh ADD run-code.sh run-code.sh ENTRYPOINT ["/bin/bash", "entrypoint.sh"] entrypoint.sh prog=$1 uid=$2 if [ -z $1 ]; then echo "you must provide a file" exit […]

在一个Docker容器中运行sandboxing的bazel: 我想在Docker容器中使用bazel来构build。不过，我总是得到以下警告：警告：您的系统不支持沙箱执行，因此无法保证操作的密封性。有关更多信息，请参阅http://bazel.io/docs/bazel-user-manual.html#sandboxing 。您可以通过–ignore_unsupported_sandboxingclosures此警告。我确实想使用沙箱。我知道这是一个特权问题，发生这种情况是因为Docker守护进程删除了一些特权。我需要什么特权，如此沙盒作品？注意：仅使用–privileged不是一个选项。

使用docker来存档一个程序: 我想用docker来实现以下function：运行一个访问某个目录的程序，然后在运行之后重置对该目录所做的所有更改。因此，我想创build一个docker镜像，将所述目录复制到docker卷中，以便程序可以访问目录中的文件，但目录对于每次运行都具有相同的内容。但是，这似乎增加了很多开销 – 是否有其他（更好）的方式来实现所描述的目标？ PS：我想测量程序的行为，但不是出于安全原因，也就是我相信程序。

Lite虚拟化进程: 我试图找出（如果可能的话）如何在绝缘环境（内存，networking和其他资源）中运行用户进程。假设程序x存储在host machine (h)的文件系统中。我想在绝缘的hosted context (c)执行x （换句话说，不需要创build虚拟托pipe的操作系统）。该过程将输出文件阐述为上下文c 。然后我想用这些文件进入上下文。我听说过LXC，docker工人，dockerlite，openvz等，但似乎必须从操作系统映像创build一个容器。所以，不久之后，有没有办法将x运行到c并将结果（如果有的话）转换为h ？

Docker：从Web UI用户input到Docker运行Python解释器: 我正在尝试制作一个Web应用程序，可以自动对编程学生提供的python代码进行评分。我已经计划将Docker实例中的代码解释为沙箱的一种手段，但现在我遇到了一个问题。如果学生在他们的代码中写入input（“…”）怎么办？这将使Docker内部的Python解释器等待额外的input。如果Docker容器在一段时间内没有完成，它最终会被杀死，但实际上我想为学生提供oppurtunity给他们的程序提供input。我知道我可以在交互模式下启动Docker，但问题是： docker如何让我的web服务知道Web UI用户应该被提示input？

在docker中限制进程的数量: 我想用docker作为沙箱来运行不安全的代码。这似乎是相当安全的，但是一个容器仍然受到了攻击。我读过可以在/etc/init/docker.conf中添加选项 limit nproc 20 100 limit nofile 50 100 limit fsize 102400000 204800000 但是这似乎不起作用。我正在使用Debian 7.8 x86_64。

Docker Containers作为编译和运行沙箱的性能下降: 我正在尝试使用下面的github项目来允许用户在线编译和运行程序。 https://github.com/remoteinterview/compilebox 它成为一个项目的直接开箱即用解决scheme，整个代码和configuration非常易于理解和configuration。不过，我现在正在得到一个性能问题。一切正常，快捷如果我一次只从一个浏览器运行一个程序。但是，如果多个用户（最多30个）尝试在单个实例上运行一段“Hello World”Java代码，则容器增加的响应时间可能会增加2-3分钟，而且许多用户会遇到一个更真实的情况。我想知道如果我缺less一些configuration调整docker或硬件级别的限制？以下是我的硬件configuration处理器：Core-i5 3.0 Ghz Ram：总共12 Gb（平均8GB免费）运行5个容器时，CPU负载约为50％。控制CPU共享并将其设置为512只会使其最差。

我如何禁用docker集装箱的互联网访问: 我试图在docker集装箱内运行不受信任的代码，并禁止它访问互联网。我已经尝试过iptables -I DOCKER -i docker0 -j DROP iptables: No chain/target/match by that name. lsb_release -a结果lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 15.04 Release: 15.04 Codename: vivid docker images结果 REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE virtual_machine latest 5f2b8cea6752 3 months ago 2.795 GB chug/ubuntu14.04×64 latest 81b68b976893 2.087208 years ago […]

端口隔离与泊坞内的bazel: 尝试使用docker 特权容器中的bazel和linux来testing端口隔离，并且失败。我的环境如下（所有的命令从aws上运行的priviliged容器运行）： $ uname -a Linux 167-docker99 3.16.0-4-amd64 #1 SMP Debian 3.16.43-2 (2017-04-30) x86_64 GNU/Linux builduser@167-docker99:~/ws/bazel-port-isolation$ cat /etc/*-release PRETTY_NAME="Debian GNU/Linux 8 (jessie)" NAME="Debian GNU/Linux" VERSION_ID="8" VERSION="8 (jessie)" ID=debian HOME_URL="http://www.debian.org/" SUPPORT_URL="http://www.debian.org/support" BUG_REPORT_URL="https://bugs.debian.org/"Bazel version $ bazel version Build label: 0.5.1 Build target: bazel-out/local-fastbuild/bin/src/main/java/com/google/devtools/build/lib/bazel/BazelServer_deploy.jar Build time: Tue Jun 6 10:34:11 2017 (1496745251) Build timestamp: 1496745251 Build timestamp […]