신뢰할 수없는 코드를 안전하게 실행하는 방법

인터넷에서 다양한 c / c ++ 라이브러리를 다운로드 / 컴파일 / 실행하고 싶습니다. 이들은 대부분 반 구운, 모호하거나 버려진 프로젝트이며, 그중 일부는 의심스러운 출처에서 나왔습니다. 안전한 "샌드 박스"유형의 환경에서 실행되도록하려면 어떻게해야합니까? 파일 시스템 / 네트워크 리소스를 건드리지 않습니다. 함수 호출에 대한 값만 반환해야합니다.

바람직하게는 Win / Linux 모두에 대한 솔루션이지만 적어도 Linux에 대한 솔루션

Linux의 경우 이는 컨테이너의 이상적인 워크로드입니다. Docker ( http://docker.io ) 를 사용하여 간단하게 수행 할 수 있습니다 . 이를 통해 VM보다 훨씬 빠르게 컨테이너를 몇 초 만에 쉽게 만들고 파괴 할 수 있습니다.

Windows의 경우 내가 아는 한 VM을 사용하고 있습니다.

권한이없는 사용자로 소프트웨어를 실행하면 충분합니다. 루트 에스컬레이션에 취약한 커널을 사용하지 않는 한.

sudo adduser SandBoxGuy
sudo passwd SandBoxGuy

이제 SanBoxGuy로 로그인하여 소프트웨어를 실행하면 소프트웨어가 다른 사용자의 파일에 액세스하거나 SandBoxGuy 사용자 디렉토리 외부의 손상을 수행 할 수 없습니다.

커널이 루트 에스컬레이션에 취약하지 않다고 가정합니다.

더 큰 답변은 여기에서 찾을 수 있습니다 . Raspberry Pi + Xserver를 염두에두고 작성되었지만 모든 Linux 시스템에 적합합니다.