Python：使用 chroot 和 chjail 保护不受信任的脚本/子进程？

我正在编写一个基于 Python 的 Web 服务器，它应该能够执行“插件”，以便可以轻松扩展功能。

为此，我考虑了一种方法，即拥有多个文件夹（每个插件一个）和多个 shell/python 脚本，其中以可能发生的不同事件的预定义名称命名。

一个例子是有一个on_pdf_uploaded.py当 PDF 上传到服务器时执行的文件。为此，我将使用 Python子流程 tools.

为了方便和安全，这将允许我使用 Unix 环境变量来提供更多信息并设置进程的工作目录 (cwd)，以便它可以访问正确的文件，而无需查找其位置。

由于插件代码来自不受信任的来源，我希望使其尽可能安全。我的想法是在子进程中执行代码，但将其放入不同用户的 chroot 监狱中，以便它无法访问服务器上的任何其他资源。

不幸的是我找不到任何关于此的信息，而且我不想依赖不受信任的脚本将自己关进监狱。

此外，我也不能将主/调用进程放入 chroot 监狱，因为在服务器应答其他请求时，插件代码可能会同时在多个进程中执行。

所以问题是：如何以最低权限在 chroot 监狱中执行子进程/脚本，以保护服务器的其余部分免受错误的、不受信任的代码的损坏？

谢谢你！

也许是这样的？

# main.py
subprocess.call(["python", "pluginhandler.py", "plugin", env])

Then,

# pluginhandler.py
os.chroot(chrootpath)
os.setgid(gid) # Important! Set GID first! See comments for details.
os.setuid(uid)
os.execle(programpath, arg1, arg2, ..., env)
# or another subprocess call 
subprocess.call["python", "plugin", env])

编辑：想使用 fork() 但我不太明白它的作用。查了一下。新的 代码！

# main.py
import os,sys
somevar = someimportantdata
pid = os.fork()
if pid:
    # this is the parent process... do whatever needs to be done as the parent
else:
    # we are the child process... lets do that plugin thing!
    os.setgid(gid) # Important! Set GID first! See comments for details.
    os.setuid(uid)
    os.chroot(chrootpath)
    import untrustworthyplugin
    untrustworthyplugin.run(somevar)
    sys.exit(0)

This http://www.myelin.co.nz/post/2003/3/13/很有用，我几乎只是窃取了该代码，所以向那个人提供了一个不错的例子表示敬意。