Як ви безпечно запускаєте ненадійний виконуваний файл на Linux?

У цей день і віку, це не погана ідея, щоб бути хитрим невідповідних виконуваних файлів, але чи є безпечний спосіб запустити один на вашій системі Linux, якщо вам дійсно потрібно це зробити? Сьогоднішня посада SuperUser Q&A містить корисні поради у відповідь на занепокоєний запит читача.

Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

Питання

Читач SuperUser Emanuele хоче знати, як безпечно запустити ненадійний виконуваний файл на Linux:

Я завантажив виконуваний файл, зібраний третьою стороною, і мені потрібно його запустити на моїй системі (Ubuntu Linux 16.04, x64) з повним доступом до ресурсів HW, таких як процесор і GPU (через драйвери NVIDIA).

Припустимо, що цей виконуваний файл містить вірус або бекдор, як його запустити? Якщо я створити новий профіль користувача, запустити його, а потім видалити профіль користувача?

Як безпечно запускати ненадійний виконуваний файл на Linux?

Відповідь

Співробітники SuperUser Shiki та Emanuele мають відповідь для нас. Спочатку, Шикі:

Перш за все, якщо це дуже високий ризик двійковий файл, вам доведеться налаштувати ізольовану фізичну машину, запустити двійковий файл, потім фізично знищити жорсткий диск, материнську плату, і в основному всі інші, тому що в цей день і вік, навіть ваш робот-вакуум може поширювати шкідливі програми. А що, якщо програма вже інфікувала вашу мікрохвильову піч через динаміки комп'ютера, використовуючи високочастотні передачі даних?!

Але давайте знімемо капелюшок з фольги і трохи повернемося до реальності.

Відсутність віртуалізації - швидке використання

Firejail

Мені довелося запустити подібний ненадійний двійковий файл всього кілька днів тому, і мій пошук привів до цієї дуже крутої маленької програми. Вона вже упакована для Ubuntu, дуже мала, і практично не має залежностей. Ви можете встановити його на Ubuntu, використовуючи: sudo apt-get встановити firejail

Інформація про пакет:

Віртуалізація

KVM або Virtualbox

Це найбезпечніша ставка залежно від двійкової системи, але, гей, див. Вище. Якщо воно було надіслано “Mr. Хакер, який є чорним поясом, програмістом з чорною капелюхом, є ймовірність того, що бінарні системи можуть уникнути віртуалізованого середовища.

Шкідливий метод двійкових - вартість заощадження

Оренда віртуальної машини! Наприклад, провайдери віртуальних серверів, таких як Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr і Ramnode. Ви орендуєте машину, запускаєте все, що вам потрібно, потім вони витирають її. Більшість більших постачальників рахунку за годину, так що це дійсно дешево.

Далі йде відповідь від Емануеле:

Слово обережності. Firejail в порядку, але треба бути надзвичайно обережним у визначенні всіх варіантів з точки зору чорного списку та білого списку. За замовчуванням, він не робить те, що цитується в цій статті журналу Linux. Автори Firejail також залишили деякі коментарі про відомі проблеми в Github.

Будьте надзвичайно обережні, коли ви використовуєте його, це може дати вам помилкове почуття безпеки без правильні опції.

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.

Кредит на зображення: Кліп-арт із тюремної камери (Clker.com)