Домашня » як » Як ви безпечно запускаєте ненадійний виконуваний файл на Linux?

    Як ви безпечно запускаєте ненадійний виконуваний файл на Linux?

    У цей день і віку, це не погана ідея, щоб бути хитрим невідповідних виконуваних файлів, але чи є безпечний спосіб запустити один на вашій системі Linux, якщо вам дійсно потрібно це зробити? Сьогоднішня посада SuperUser Q&A містить корисні поради у відповідь на занепокоєний запит читача.

    Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

    Питання

    Читач SuperUser Emanuele хоче знати, як безпечно запустити ненадійний виконуваний файл на Linux:

    Я завантажив виконуваний файл, зібраний третьою стороною, і мені потрібно його запустити на моїй системі (Ubuntu Linux 16.04, x64) з повним доступом до ресурсів HW, таких як процесор і GPU (через драйвери NVIDIA).

    Припустимо, що цей виконуваний файл містить вірус або бекдор, як його запустити? Якщо я створити новий профіль користувача, запустити його, а потім видалити профіль користувача?

    Як безпечно запускати ненадійний виконуваний файл на Linux?

    Відповідь

    Співробітники SuperUser Shiki та Emanuele мають відповідь для нас. Спочатку, Шикі:

    Перш за все, якщо це дуже високий ризик двійковий файл, вам доведеться налаштувати ізольовану фізичну машину, запустити двійковий файл, потім фізично знищити жорсткий диск, материнську плату, і в основному всі інші, тому що в цей день і вік, навіть ваш робот-вакуум може поширювати шкідливі програми. А що, якщо програма вже інфікувала вашу мікрохвильову піч через динаміки комп'ютера, використовуючи високочастотні передачі даних?!

    Але давайте знімемо капелюшок з фольги і трохи повернемося до реальності.

    Відсутність віртуалізації - швидке використання

    Firejail

    Мені довелося запустити подібний ненадійний двійковий файл всього кілька днів тому, і мій пошук привів до цієї дуже крутої маленької програми. Вона вже упакована для Ubuntu, дуже мала, і практично не має залежностей. Ви можете встановити його на Ubuntu, використовуючи: sudo apt-get встановити firejail

    Інформація про пакет:

    Віртуалізація

    KVM або Virtualbox

    Це найбезпечніша ставка залежно від двійкової системи, але, гей, див. Вище. Якщо воно було надіслано “Mr. Хакер, який є чорним поясом, програмістом з чорною капелюхом, є ймовірність того, що бінарні системи можуть уникнути віртуалізованого середовища.

    Шкідливий метод двійкових - вартість заощадження

    Оренда віртуальної машини! Наприклад, провайдери віртуальних серверів, таких як Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr і Ramnode. Ви орендуєте машину, запускаєте все, що вам потрібно, потім вони витирають її. Більшість більших постачальників рахунку за годину, так що це дійсно дешево.

    Далі йде відповідь від Емануеле:

    Слово обережності. Firejail в порядку, але треба бути надзвичайно обережним у визначенні всіх варіантів з точки зору чорного списку та білого списку. За замовчуванням, він не робить те, що цитується в цій статті журналу Linux. Автори Firejail також залишили деякі коментарі про відомі проблеми в Github.

    Будьте надзвичайно обережні, коли ви використовуєте його, це може дати вам помилкове почуття безпеки без правильні опції.


    Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.

    Кредит на зображення: Кліп-арт із тюремної камери (Clker.com)