Làm thế nào tôi có thể chạy một thực thi không đáng tin cậy trên linux một cách an toàn?

34

Tôi đã tải xuống một tệp thực thi được biên soạn bởi bên thứ ba và tôi cần nó để chạy trên hộp của mình (Ubuntu 16.04 - x64) với quyền truy cập đầy đủ vào các tài nguyên CT như CPU ​​và GPU (thông qua trình điều khiển nVidia).

Giả sử tập tin thực thi này có chứa virus hoặc cửa hậu, tôi nên chạy nó như thế nào?

Tôi có nên tạo một người dùng mới, chạy nó với nó và sau đó xóa chính người dùng đó không?

chỉnh sửa

Chưa phê duyệt câu trả lời dưới đây vì firejail có thể không hoạt động .

chỉnh sửa 2

firejail là ok nhưng người ta phải cực kỳ cẩn thận trong việc chỉ định tất cả các tùy chọn về danh sách đendanh sách trắng . Theo mặc định nó không làm gì được trích dẫn trong này linux-tạp chí bài viết (xem thêm một số ý kiến từ tác giả firejail).

Hãy cực kỳ cẩn thận khi bạn sử dụng nó, nó có thể mang lại cho bạn cảm giác an toàn sai lầm nếu không có các lựa chọn đúng đắn.

linux  sandbox  exec 
Emanuele
nguồn
điều này có thể tốt hơn trên Ask Ubuntu
phuclv

Câu trả lời:

56

Đầu tiên và quan trọng nhất, nếu đó là một nhị phân có rủi ro rất cao ... bạn sẽ phải thiết lập một máy vật lý bị cô lập, chạy nhị phân, sau đó phá hủy vật lý ổ cứng, bo mạch chủ và tất cả các phần còn lại. Bởi vì trong thời đại ngày nay, ngay cả robot hút bụi của bạn cũng có thể phát tán phần mềm độc hại. Và nếu chương trình đã lây nhiễm lò vi sóng của bạn qua loa pc bằng cách truyền dữ liệu tần số cao thì sao?!

Nhưng, chúng ta hãy cởi chiếc mũ nhỏ bé đó và quay trở lại thực tế một chút.

Không ảo hóa, sử dụng nhanh: Firejail

Nó đã được đóng gói trên Ubuntu, nó rất nhỏ, hầu như không có phụ thuộc.
Cách cài đặt trên Ubuntu:sudo apt-get install firejail

Trang web: https://firejail.wordpress.com/

Thông tin gói: 

Package: firejail
Priority: optional
Section: universe/utils
Installed-Size: 457
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Reiner Herrmann <reiner@reiner-h.de>
Architecture: amd64
Version: 0.9.38-1
Depends: libc6 (>= 2.15)
Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb
Size: 136284
MD5sum: 81a9a9ef0e094e818eb70152f267b0b6
SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16
SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194
Description-en: sandbox to restrict the application environment
 Firejail is a SUID security sandbox program that reduces the risk of
 security breaches by restricting the running environment of untrusted
 applications using Linux namespaces and seccomp-bpf.  It allows a
 process and all its descendants to have their own private view of the
 globally shared kernel resources, such as the network stack, process
 table, mount table.
Description-md5: 001e4831e20916b1cb21d90a1306806f
Homepage: https://firejail.wordpress.com
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu

Tôi đã phải chạy một nhị phân "không đáng tin cậy" tương tự chỉ vài ngày trước. Và tìm kiếm của tôi đã dẫn đến chương trình nhỏ rất mát mẻ này.

Ảo hóa: KVM , Virtualbox .
Đây là đặt cược an toàn nhất. Tùy thuộc vào nhị phân. Nhưng này, xem ở trên.
Nếu nó được gửi bởi "Ông Hacker", một người lập trình đai đen - mũ đen, có khả năng nhị phân có thể thoát khỏi môi trường ảo hóa.

Phần mềm độc hại nhị phân, phương pháp tiết kiệm chi phí: Thuê máy! Một ảo. Ví dụ nhà cung cấp máy chủ ảo: Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr, Ramnode. Bạn thuê máy, chạy bất cứ thứ gì bạn cần, sau đó họ sẽ xóa sạch chúng. Hầu hết các nhà cung cấp lớn hơn tính hóa đơn theo giờ, vì vậy nó thực sự rẻ.

Apache
nguồn
Bình luận không dành cho thảo luận mở rộng; cuộc trò chuyện này đã được chuyển sang trò chuyện .
Journeyman Geek
2

Chỉ cần chạy nó trên một cài đặt riêng - thiết lập cài đặt riêng trên ổ đĩa ngoài hoặc ổ cứng khác, đảm bảo rằng các phần cài đặt chính của bạn không được gắn (hoặc tốt hơn là ngắt kết nối chúng) và kiểm tra. Bạn có thể sao lưu cài đặt sẵn này trong trường hợp bạn cần lại và nuke nó sau khi hoàn tất.

Đây là một phương pháp mạnh mẽ hơn nhiều so với sandbox / jail, và bạn có thể tự tin coi cài đặt thứ hai là dùng một lần và / hoặc chỉ sử dụng nó khi cần thiết.

Hành trình Geek
nguồn
2

Từ trang người đàn ông Firejail:

   Without  any  options,  the sandbox consists of a filesystem build in a
   new mount namespace, and new PID and UTS namespaces. IPC,  network  and
   user  namespaces  can  be  added  using  the  command line options. The
   default Firejail filesystem is based on the host  filesystem  with  the
   main  system directories mounted read-only. These directories are /etc,
   /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64.  Only  /home
   and /tmp are writable.

Đây là một mô tả cấp cao, có những thứ khác đang diễn ra, ví dụ / boot bị liệt vào danh sách đen, và / sbin và / usr / sbin cũng vậy.

https://firejail.wordpress.com/features-3/man-firejail/

Bạn cũng có thể xem tài liệu này: https://firejail.wordpress.com/documentation-2/firefox-guide/ - họ có một mô tả rất hay về hệ thống tệp.

mạch máu
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.