ฉันจะเรียกใช้ไฟล์ปฏิบัติการที่ไม่น่าเชื่อถือบน linux ได้อย่างปลอดภัยได้อย่างไร?

34

ฉันได้ดาวน์โหลดไฟล์ปฏิบัติการที่คอมไพล์โดยบุคคลที่สามและฉันต้องการให้มันรันบนกล่องของฉัน (Ubuntu 16.04 - x64) พร้อมการเข้าถึงทรัพยากร HW อย่างเต็มรูปแบบเช่น CPU และ GPU (ผ่านไดรเวอร์ nVidia)

สมมติว่าไฟล์ปฏิบัติการนี้มีไวรัสหรือแบ็คดอร์ฉันจะรันได้อย่างไร?

ฉันควรสร้างผู้ใช้ใหม่รันด้วยหรือไม่จากนั้นลบผู้ใช้เอง?

แก้ไข

ไม่อนุมัติคำตอบด้านล่างเลยเพราะ firejail อาจจะไม่ได้ทำงาน

แก้ไข 2

firejail เป็นokแต่อย่างหนึ่งต้องมีความระมัดระวังอย่างมากในการระบุตัวเลือกทั้งหมดในแง่ของบัญชีดำและรายการที่อนุญาต ตามค่าเริ่มต้นแล้วมันจะไม่ทำสิ่งที่อ้างถึงในบทความ linux-magazineนี้ (ดูความคิดเห็นบางส่วนจากผู้เขียน firejail)

ระวังอย่างยิ่งเมื่อคุณใช้มันอาจทำให้คุณรู้สึกถึงความปลอดภัยโดยไม่ต้องใช้ตัวเลือกที่เหมาะสม

linux  sandbox  exec 
มานูเอล
แหล่งที่มา
นี่อาจดีกว่าในAsk Ubuntu
phuclv

คำตอบ:

56

ก่อนอื่นถ้าเป็นไบนารี่ที่มีความเสี่ยงสูงมาก ... คุณจะต้องติดตั้งเครื่องแยกทางกายภาพเรียกใช้ไบนารี่จากนั้นก็ทำการทำลาย HDD, มาเธอร์บอร์ดและส่วนที่เหลือทั้งหมด เพราะในยุคนี้หุ่นยนต์ดูดฝุ่นของคุณสามารถแพร่กระจายมัลแวร์ได้ และถ้าโปรแกรมติดไมโครเวฟของคุณผ่านลำโพงพีซีโดยใช้การส่งข้อมูลความถี่สูง!

แต่ขอถอดหมวกเหล็กวิลาดนั้นแล้วกระโดดกลับสู่ความเป็นจริงสักหน่อย

ไม่มีการจำลองเสมือนใช้งานง่าย: Firejail

มันบรรจุอยู่ใน Ubuntu แล้วมันมีขนาดเล็กมากแทบไม่มีการพึ่งพา
วิธีติดตั้งบน Ubuntu:sudo apt-get install firejail

เว็บไซต์: https://firejail.wordpress.com/

ข้อมูลแพ็คเกจ: 

Package: firejail
Priority: optional
Section: universe/utils
Installed-Size: 457
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Reiner Herrmann <reiner@reiner-h.de>
Architecture: amd64
Version: 0.9.38-1
Depends: libc6 (>= 2.15)
Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb
Size: 136284
MD5sum: 81a9a9ef0e094e818eb70152f267b0b6
SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16
SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194
Description-en: sandbox to restrict the application environment
 Firejail is a SUID security sandbox program that reduces the risk of
 security breaches by restricting the running environment of untrusted
 applications using Linux namespaces and seccomp-bpf.  It allows a
 process and all its descendants to have their own private view of the
 globally shared kernel resources, such as the network stack, process
 table, mount table.
Description-md5: 001e4831e20916b1cb21d90a1306806f
Homepage: https://firejail.wordpress.com
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu

ฉันต้องเรียกใช้ไบนารีที่ "ไม่น่าเชื่อถือ" ที่คล้ายกันเพียงไม่กี่วันที่ผ่านมา และการค้นหาของฉันนำไปสู่โปรแกรมขนาดเล็กที่ยอดเยี่ยมมากนี้

Virtualization: KVM , Virtualbox
นี่คือเดิมพันที่ปลอดภัยที่สุด ขึ้นอยู่กับเลขฐานสอง แต่เดี๋ยวก่อนดูด้านบน
ถ้ามันถูกส่งโดย "นายแฮ็กเกอร์" ซึ่งเป็นเข็มขัดหนังสีดำ - โปรแกรมเมอร์หมวกดำมีโอกาสที่ไบนารีสามารถหลบหนีสภาพแวดล้อมเสมือนจริง

มัลแวร์ไบนารีวิธีประหยัดต้นทุน:เช่าเครื่อง! เสมือนหนึ่ง ตัวอย่างผู้ให้บริการเซิร์ฟเวอร์เสมือน: Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr, Ramnode คุณเช่าเครื่องใช้สิ่งที่คุณต้องการจากนั้นพวกเขาก็จะเช็ดพวกเขาออก ผู้ให้บริการรายใหญ่ที่เรียกเก็บเงินเป็นรายชั่วโมงดังนั้นจึงมีราคาถูกจริงๆ

อาปาเช่
แหล่งที่มา
ความคิดเห็นไม่ได้มีไว้สำหรับการอภิปรายเพิ่มเติม การสนทนานี้ได้รับการย้ายไปแชท
Geek
2

เพียงแค่เรียกใช้ในการติดตั้งแยกต่างหาก - ตั้งค่าการติดตั้งแยกต่างหากบนไดรฟ์ภายนอกหรือฮาร์ดไดรฟ์อื่นตรวจสอบให้แน่ใจว่าพาร์ติชันการติดตั้งหลักของคุณไม่ได้ติดตั้ง (หรือดีกว่า คุณสามารถสำรองข้อมูลนี้ล่วงหน้าติดตั้งในกรณีที่คุณต้องการอีกครั้งและทำมันเมื่อเสร็จแล้ว

เป็นวิธีที่แข็งแกร่งกว่า sandboxing / jailing และคุณสามารถมั่นใจได้ว่าการติดตั้งครั้งที่สองเป็นแบบใช้ครั้งเดียวและ / หรือใช้งานได้เมื่อจำเป็นเท่านั้น

คนงาน Geek
แหล่งที่มา
2

จากหน้าคน Firejail:

   Without  any  options,  the sandbox consists of a filesystem build in a
   new mount namespace, and new PID and UTS namespaces. IPC,  network  and
   user  namespaces  can  be  added  using  the  command line options. The
   default Firejail filesystem is based on the host  filesystem  with  the
   main  system directories mounted read-only. These directories are /etc,
   /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64.  Only  /home
   and /tmp are writable.

นี่เป็นคำอธิบายระดับสูงมีสิ่งอื่น ๆ เกิดขึ้นเช่น / boot ถูกขึ้นบัญชีดำและ / sbin และ / usr / sbin

https://firejail.wordpress.com/features-3/man-firejail/

คุณยังสามารถดูเอกสารนี้: https://firejail.wordpress.com/documentation-2/firefox-guide/ - พวกเขามีคำอธิบายที่ดีมากเกี่ยวกับระบบไฟล์

vvasea
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.