Як ви безпечно запускаєте ненадійний виконуваний файл на Linux?
У цей день і віку, це не погана ідея, щоб бути хитрим невідповідних виконуваних файлів, але чи є безпечний спосіб запустити один на вашій системі Linux, якщо вам дійсно потрібно це зробити? Сьогоднішня посада SuperUser Q&A містить корисні поради у відповідь на занепокоєний запит читача.
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..
Питання
Читач SuperUser Emanuele хоче знати, як безпечно запустити ненадійний виконуваний файл на Linux:
Я завантажив виконуваний файл, зібраний третьою стороною, і мені потрібно його запустити на моїй системі (Ubuntu Linux 16.04, x64) з повним доступом до ресурсів HW, таких як процесор і GPU (через драйвери NVIDIA).
Припустимо, що цей виконуваний файл містить вірус або бекдор, як його запустити? Якщо я створити новий профіль користувача, запустити його, а потім видалити профіль користувача?
Як безпечно запускати ненадійний виконуваний файл на Linux?
Відповідь
Співробітники SuperUser Shiki та Emanuele мають відповідь для нас. Спочатку, Шикі:
Перш за все, якщо це дуже високий ризик двійковий файл, вам доведеться налаштувати ізольовану фізичну машину, запустити двійковий файл, потім фізично знищити жорсткий диск, материнську плату, і в основному всі інші, тому що в цей день і вік, навіть ваш робот-вакуум може поширювати шкідливі програми. А що, якщо програма вже інфікувала вашу мікрохвильову піч через динаміки комп'ютера, використовуючи високочастотні передачі даних?!
Але давайте знімемо капелюшок з фольги і трохи повернемося до реальності.
Відсутність віртуалізації - швидке використання
Firejail
Мені довелося запустити подібний ненадійний двійковий файл всього кілька днів тому, і мій пошук привів до цієї дуже крутої маленької програми. Вона вже упакована для Ubuntu, дуже мала, і практично не має залежностей. Ви можете встановити його на Ubuntu, використовуючи: sudo apt-get встановити firejail
Інформація про пакет:
Віртуалізація
KVM або Virtualbox
Це найбезпечніша ставка залежно від двійкової системи, але, гей, див. Вище. Якщо воно було надіслано “Mr. Хакер, який є чорним поясом, програмістом з чорною капелюхом, є ймовірність того, що бінарні системи можуть уникнути віртуалізованого середовища.
Шкідливий метод двійкових - вартість заощадження
Оренда віртуальної машини! Наприклад, провайдери віртуальних серверів, таких як Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr і Ramnode. Ви орендуєте машину, запускаєте все, що вам потрібно, потім вони витирають її. Більшість більших постачальників рахунку за годину, так що це дійсно дешево.
Далі йде відповідь від Емануеле:
Слово обережності. Firejail в порядку, але треба бути надзвичайно обережним у визначенні всіх варіантів з точки зору чорного списку та білого списку. За замовчуванням, він не робить те, що цитується в цій статті журналу Linux. Автори Firejail також залишили деякі коментарі про відомі проблеми в Github.
Будьте надзвичайно обережні, коли ви використовуєте його, це може дати вам помилкове почуття безпеки без правильні опції.
Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.
Кредит на зображення: Кліп-арт із тюремної камери (Clker.com)