第9章 OJ系统判题.pdfVIP

湖南农业大学东方科技学院大学生研究性学习和创新性实验计划项目 中 期 研 究 报 告 基于LAMP 的OJ 系统判题核心安全机 项 目 名 称 ： 制研究 项 目 编 号 ： DFCXY201113 项目主持人 ： 陈 乾 主持人电话 ： 电 子 信 箱 ： 7931218@ 指 导 教 师 ： 陈义明 学 部 ： 理工学部 研究起止年月 ： 2011 年5 月至2012 年12 月 湖南农业大学东方科技学院教务部制 2012 年11 月10 日填报 研 究 进 展 简 况 项目编号 DFCXY201113 项目名称 基于LAMP 的OJ 系统判题核心安全机制研究 研 究 起 始 时 间 2011 年5 月 期 限 预计结题时间 2013 年5 月 本阶段研究的主要成效 成果名称 级别 扫描解题代码API 函数关键字 高 项目经费使用情况 项目总经费 3000 元 现阶段支出 1500 元 研究工作进展简介 请按照下列提纲编写，要求简明扼要，实事求是，总字数在2000—4000 字。 （可附加页） 本阶段主要研究内容与方法、所取得的阶段性成效。 研究如何防止用户对系统的有意破坏。如用户程序执行system(”reboot”)， 或者最经典的while(1) fork(); 代码。对调用系统敏感性API 的代码，服务器 拒绝编译运行。 ACM 在线判题系统所使用的判题程序要求有很高的安全性，因为判题程序需 要运行用户提交上来的代码，而用户会提交什么样的代码是无法预知的。判题程 序首先要把用户的代码编译成可执行文件，然后运行这个可执行文件（本文姑且 称之为解题程序），所以判题系统的安全性主要是限制解题程序的行为，阻止它 执行危险的操作。如图所示： 由于OJ 系统是基于lamp 架构之上的，因此要想实现对OJ 系统的安全级别 升级就必须要有良好的LAMP 环境架构。由于实验室服务器的数量问题，基于linux 平台的apache 服务，mysql 数据库和php 均搭建在同一台服务器上，我们项目组 已经搭建完成，并且完成了以下安全需求： 一．确定了系统安全控制的范围以及完成了系统安全性的配置内容 1.apache： 首先在服务器上建立适当的用户和组：# useradd apache （添加用户） #groupadd apache （添加组）为了更安全的方面考虑，这里我们将该用户锁定。 在添加完权限较低的用户和组后我们将apache 的DocumentRoot 目录的用户和组 由原来的root 改为权限较低的apache 2.PHP： 在搭建好 lamp 架构之后会在、/usr/local/apache2/lib/下生成一个叫 php.ini 文件，在这文件里面有很多的参数和模块可以灵活的去调用从而实现权 限大小的分配，PHP 配置文件： ＃vim /usr/local/apache2/lib/php.ini 修改 安全模式：safe_mode=On ，safe_mode_gid=off 使ＰＨＰ文件只能访问同属主 文件，即使在chroot 环境下也无法访问jail 中属主不一样的文件。通过以上设 置，php shell 可以执行系统命令的后门就此被屏蔽,以此实现了解题程序无法