Thực thi chương trình có thể gây hại trên Linux

Tôi đang viết một chương trình sẽ kiểm tra các chương trình được viết bởi các sinh viên. Tôi sợ rằng tôi không thể tin tưởng họ và tôi cần đảm bảo rằng nó sẽ không trở nên tồi tệ cho máy tính chạy nó.

Tôi đã suy nghĩ về việc làm cho một số người dùng thử nghiệm sự cố với quyền truy cập hạn chế vào tài nguyên hệ thống và chạy các chương trình như người dùng đó, nhưng từ những gì tôi tìm thấy trên mạng cho đến nay, tạo một hệ thống ảo sẽ là lựa chọn an toàn nhất ...

Ai đó có thể giúp tôi với việc lựa chọn phương pháp phù hợp? An ninh là một mối quan tâm lớn đối với tôi. Mặt khác, tôi không muốn một giải pháp quá mức cần thiết và lãng phí nhiều thời gian để cố gắng học thứ gì đó mà tôi không thực sự cần.

• Máy ảo có thể cung cấp cho bạn bảo mật cao nhất mà không cần khởi động lại, nhưng hiệu suất thấp nhất.

• Một tùy chọn khác, để bảo mật cao hơn cả máy ảo: khởi động CD / DVD / ổ đĩa "trực tiếp" mà không cần truy cập vào ổ cứng (tạm thời vô hiệu hóa ổ cứng trong BIOS; ít nhất bạn không thể gắn ổ đĩa / ngắt kết nối nó, nếu được gắn tự động - nhưng điều này kém an toàn hơn nhiều)

• Một container docker là một thay thế ít an toàn hơn cho một máy ảo đầy đủ. Có lẽ sự khác biệt quan trọng (về mặt bảo mật) giữa hai hệ thống này là các hệ thống chạy trong docker thực sự sử dụng kernel của hệ thống máy chủ của bạn.

• Có những chương trình như cách ly sẽ tạo ra một môi trường an toàn, đặc biệt - thường được gọi là hộp cát - những chương trình này thường dựa trên chroot, với sự giám sát bổ sung - tìm một môi trường phù hợp với bạn.

• Một chroot đơn giản sẽ ít an toàn nhất (đặc biệt là liên quan đến thực thi chương trình), mặc dù có thể nhanh hơn một chút, nhưng ... Bạn sẽ cần xây dựng / sao chép toàn bộ một cây gốc riêng biệt và sử dụng các liên kết gắn kết, /devv.v. (xem Lưu ý 1 bên dưới!). Vì vậy, nói chung, phương pháp này không thể được khuyến nghị, đặc biệt nếu bạn có thể sử dụng sandboxmôi trường an toàn hơn và thường dễ cài đặt hơn .

Lưu ý 0: Đối với khía cạnh của một "người dùng đặc biệt", nhưnobodytài khoản: Điều này hầu như không mang lại bất kỳ sự bảo mật nào , thậm chí còn đơn giản hơn nhiềuchroot. Ngườinobodydùng vẫn có thể truy cập các tệp và chương trình đã đọc và thực thi các quyền được đặt cho người khác . Bạn có thể kiểm tra nó vớisu -s /bin/sh -c 'some command' nobody. Và nếu bạn có bất kỳ tệp cấu hình / lịch sử / bộ nhớ cache nào có thể truy cập được cho bất kỳ ai (do lỗi hoặc lỗ hổng bảo mật nhỏ), một chương trình chạy vớinobodyquyền của có thể truy cập vào nó, grep cho dữ liệu bí mật (như "pass =", v.v.) và trong nhiều cách gửi nó qua mạng hoặc bất cứ điều gì.

Lưu ý 1: Như Gilles đã chỉ ra trong một bình luận bên dưới , một môi trường chroot đơn giản sẽ cung cấp rất ít bảo mật chống lại các khai thác nhằm vào sự leo thang đặc quyền. Một chroot duy nhất có ý nghĩa an ninh-khôn ngoan, chỉ khi môi trường là tối thiểu, bao gồm các chương trình bảo mật khẳng định chỉ (nhưng vẫn còn tồn tại những nguy cơ khai thác lỗ hổng hạt nhân cấp tiềm năng), và tất cả các chương trình tin cậy chạy trong chroot đang chạy như một người dùng không chạy bất kỳ quá trình nào bên ngoài chroot. Điều mà chroot ngăn chặn (với các hạn chế được đề cập ở đây), là sự thâm nhập hệ thống trực tiếp mà không có sự leo thang đặc quyền. Tuy nhiên, như Gilles đã lưu ý trong một bình luận khác, thậm chí mức độ bảo mật đó có thể bị phá vỡ, cho phép một chương trình thoát ra khỏi chroot.

Sử dụng máy ảo. Bất cứ điều gì ít hơn không cung cấp bảo mật nhiều.

Một vài năm trước tôi có thể đã đề xuất một người dùng chuyên dụng chroot hoặc một số như vậy. Nhưng phần cứng đã trở nên mạnh mẽ hơn và phần mềm máy ảo đã trở nên dễ sử dụng hơn. Hơn nữa, các cuộc tấn công ngoài luồng đã trở nên tinh vi hơn. Không còn lý do để không đi toàn bộ con đường ở đây.

Tôi khuyên bạn nên chạy VirtualBox. Bạn có thể thiết lập máy ảo trong vài phút, sau đó cài đặt bản phân phối Linux bên trong nó. Thiết lập không mặc định duy nhất tôi khuyên dùng là thiết lập kết nối mạng: tạo cả giao diện NAT NAT (để giao tiếp với thế giới) và giao diện chỉ lưu trữ trên máy chủ (để bạn có thể dễ dàng sao chép tệp đến và từ máy chủ và ssh vào máy ảo). Vô hiệu hóa giao diện NAT trong khi bạn chạy các chương trình của học sinh¹; chỉ bật khi bạn cài đặt hoặc nâng cấp gói phần mềm.

Trong máy ảo, tạo một người dùng cho mỗi sinh viên.

¹ _{Bạn có thể hạn chế các giao diện NAT để một danh sách trắng của người sử dụng, nhưng đó của tiến bộ hơn bạn cần một cách đơn giản, to-the-điểm thiết lập.}

Đây là một lời giải thích rất kỹ lưỡng về lý do tại sao sử dụng Chroot vẫn là một lựa chọn rất khả thi và tại sao hệ điều hành đầy đủ hoặc ảo hóa phần cứng đầy đủ lại đặc biệt quá mức trong các tình huống cụ thể.

Không có gì khác hơn là một huyền thoại rằng Chroot không phải là một tính năng bảo mật. có những công cụ sẽ tự động xây dựng hệ thống tệp chroot cho bạn và Chroot được tích hợp vào nhiều ứng dụng chính như một tính năng bảo mật có mục đích.

Trái với niềm tin phổ biến, không phải mọi tình huống đều yêu cầu ảo hóa toàn bộ hệ điều hành hoặc mô phỏng toàn bộ phần cứng. điều này thực sự có nghĩa là có nhiều bề mặt tấn công hơn để thử và che. lần lượt, có nghĩa là một hệ thống kém an toàn . (chủ yếu dành cho các quản trị viên hệ thống ít hiểu biết)

các quy tắc khá đơn giản: không đặt bất cứ thứ gì vào trong chroot không cần thiết. không chạy một daemon như root. không chạy daemon như bất kỳ người dùng nào chạy daemon bên ngoài chroot.

loại bỏ bất kỳ ứng dụng không an toàn, nhị phân setuid, các liên kết / liên kết cứng không có chủ sở hữu. kể lại các thư mục không cần thiết bằng cách sử dụng nosuid, noexec và gật đầu. xây dựng phiên bản ổn định mới nhất của daemon đang chạy từ nguồn. và hơn hết là bảo mật hệ thống cơ sở!

Tôi sẽ bổ sung điều này, ngay sau khi câu hỏi được trả lời chính thức: MAGIC: Lão hóa độc hại trong Mạch / Lõi , không may bị khóa sau paywall của ACM. Kết quả cuối cùng của bài báo là các dấu vết chiều rộng rất nhỏ trong các mạch được sử dụng ngày nay trong quá trình sử dụng, và cuối cùng bị hỏng. Bằng cách tìm (các) hướng dẫn chính xác và lặp đi lặp lại chúng, kẻ tấn công có thể khiến các IC bị lỗi nhanh chóng.

Không có VM hoặc hộp cát hoặc thùng chứa hoặc nhà tù chroot nào có thể ngăn chặn loại phá hủy phần cứng độc hại này. Các tác giả của bài báo đã tìm thấy các chuỗi hướng dẫn như vậy và phần cứng thử nghiệm bị lỗi, nhưng họ đã không đưa ra các hướng dẫn, vì vậy nó có thể không phải là một mối đe dọa thực sự trong một thời gian.

Trên các unixes BSD có nguồn gốc (bao gồm cả Mac OS X), có một cơ sở được gọi sandbox. Trang này nói

MÔ TẢ
Cơ sở hộp cát cho phép các ứng dụng tự nguyện hạn chế quyền truy cập của họ vào tài nguyên hệ điều hành. Cơ chế an toàn này nhằm hạn chế thiệt hại tiềm tàng trong trường hợp lỗ hổng được khai thác. Nó không phải là sự thay thế cho các điều khiển truy cập hệ điều hành khác.

Điều này là riêng biệt từ các chrootcơ sở cũng có sẵn.