5.从0实现Online Judge(go语言)-Runner和监控程序的实现

源码见:https://github.com/lovercode/GO_OJ.git,demo见:https://codelover.me/run.html

runner的实现

runner主要分为三部分脚本运行,运行前脚本,运行时脚本,清理脚本

  • 运行前脚本
echo "before run..,user $2 run $1"
chown $2 ../$1 -R
chmod 700 ../$1 -R

此处会把运行的用户和目录给脚本,脚本需要把文件所有者改为运行的用户,保证运行的用户之间不能相互读取各自的文件数据。

  • 运行时脚本
echo "c run...$1"
list=`find ./ |grep [0-9]\.in$`
for i in $list
do
    ../../process $2 ./main $i $i.out 
    res=$?
    echo $res
    if [ "$res" -gt 0 ]
        then 
            echo "run error"
            exit $res
    fi
done

运行时脚本会启动process来运行程序,主要是限制系统调用,起到监控的作用。同时会把程序输入重定向到程序,把输出重定向到文件。

  • 清理脚本
echo "c clear...$1"
rm -rf ../$1
ps -o pid,user | grep $2 | awk '{print$1}' | xargs kill -9

主要是清理运行过程产生的文件,kill掉运行用户的所有进程

process的实现

process是用于监控用户程序的,主要是限制系统调用,采用黑名单方式(可以修改源码,改为白名单),使用C语言实现,采用的是seccomp实现的

#include <stdio.h>
#include <unistd.h>
#include <string.h>
#include <seccomp.h>
#include "syscallFilter.h"
#include <stdlib.h>
#include <sys/resource.h>

#define C 1
#define Cpp 2
#define Java 3
#define Bash 4
#define Php 5
#define Python 6
#define Go 7
#define Node 8


void initFilter(int type, scmp_filter_ctx* ctx){
    char **arr;

    switch (type)
    {
    case C:
        arr = C_Syscall;
        break;
    case Cpp:
        arr = Cpp_Syscall;
        break;
    case Java:
        arr = Java_Syscall;
        break;
    case Bash:
        arr = Bash_Syscall;
        break;
    case Php:
        arr = Php_Syscall;
        break;
    case Python:
        arr = Python_Syscall;
        break;
    case Go:
        arr = Go_Syscall;
        break;
    case Node:
        arr = Node_Syscall;
        break;
    default:
        return;
    }
    for(int i=0; arr[i]!=NULL; i++){
        int syscall_id = seccomp_syscall_resolve_name(arr[i]);
        // seccomp_rule_add(*ctx, SCMP_ACT_ALLOW, syscall_id,0);
        seccomp_rule_add(*ctx, SCMP_ACT_KILL, syscall_id,0);
    }
}
void setLimit(){
    struct rlimit limit;
    limit.rlim_cur=10;
}

int main(int argc, char* argv[]) {
   
    int type=-1;
    char file_name[30];
    char *child_argv[10];
    char *env[]={NULL};
    strcpy(file_name,argv[2]);
    type = atoi(argv[1]);
    scmp_filter_ctx ctx;

    // ctx = seccomp_init(SCMP_ACT_KILL);
    ctx = seccomp_init(SCMP_ACT_ALLOW);
    freopen("error.out", "a+", stderr);
    
   
    switch (type)       
    {
    case C:
    case Go:
    case Cpp:
    {
        seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 1,
                        SCMP_A0(SCMP_CMP_NE, file_name));
        freopen(argv[3], "r", stdin);   

        freopen(argv[4], "w", stdout);

        initFilter(type, &ctx);
        seccomp_load(ctx);
        
        if(execl(file_name, file_name, (char *) NULL)!=0){
            return 1;
        }
    }
        
        break;
    case Bash:
        freopen(argv[4], "r", stdin);
        freopen(argv[5], "w", stdout);
        initFilter(type, &ctx);
        seccomp_load(ctx);
        execl(file_name, file_name, argv[3],(char *) NULL);
        break;
    case Java:
    case Python:
    case Node:
    case Php:
        seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 1,
                        SCMP_A0(SCMP_CMP_NE, file_name));
        freopen(argv[4], "r", stdin);
        freopen(argv[5], "w", stdout);
        initFilter(type, &ctx);
        seccomp_load(ctx);
        execl(file_name, file_name, argv[3],(char *) NULL);

        break;

    default:
        break;
    }
    
    return 0;
}
  • 系统调用黑名单
    目前黑名单配置比较简单,需要自己添加并编译
    gcc -o process main.c -lseccomp
#include <syscall.h>

// 系统调用黑名单
// "brk","access","openat","fstat","mmap","close","read","mprotect","arch_prctl",
// "mprotect","munmap","write","set_tid_address",
// "ioctl","writev","exit_group","_exit",

char *C_Syscall[]={
      "fork",
      NULL
};
char *Cpp_Syscall[]={
      "fork",
      NULL
};
char *Java_Syscall[]={
      NULL
};
char *Bash_Syscall[]={
      NULL
};
char *Php_Syscall[]={
      NULL
};
char *Python_Syscall[]={
      NULL
};
char *Go_Syscall[]={
      NULL
};
char *Node_Syscall[]={
      NULL
};

user轮转运行机制

为了保证用户之间的文件数据不能相互读取(用户采用socket等通信,可以采用黑名单限制系统调用),采用了user轮转运行程序的模式,主要实现是所有用户都在队列中,运行时,先获取用户,再运行程序,运行完再入队

UserQueue.png

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,511评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,495评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,595评论 0 225
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,558评论 0 190
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,715评论 3 270
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,672评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,112评论 2 291
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,837评论 0 181
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,417评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,928评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,316评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,773评论 2 234
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,253评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,827评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,440评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,523评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,583评论 2 249

推荐阅读更多精彩内容