7.3 root 权限

一个重要的问题是如何保护被评测机运行的程序。对这些资源我们没有任何控制权，而且我们也不想依赖于人工查验或者过滤类如系统呼叫（system call）的东西（他们通常是模糊不清的而且随语言不同而不同）。

因此我们想通过在一个受限尽可能多的环境中运行这些程序从而解决这个问题。这可以通过用 Linux 的 cgroup 进程控制来创建一个小的 chroot 环境来完成。为此，需要用到评测机的 root 权限和静态编译的程序。通过限制程序可获取的资源（内存，进程，时间，未授权的用户和网络访问），我们可以保护系统远离那些试图 hack 或摧毁我们系统的程序的伤害。