Güvenilmeyen bir yürütülebilir dosyayı linux'da güvenle çalıştırabilir miyim?


34

Üçüncü taraflarca derlenen bir çalıştırılabilir dosyayı indirdim ve CPU ve GPU (nVidia sürücüleri aracılığıyla) gibi HW kaynaklarına tam erişimi olan kutumda (Ubuntu 16.04 - x64) çalışmam gerekiyor.

Bu yürütülebilir dosyanın bir virüs veya arka kapı içerdiğini varsayalım, nasıl çalıştırmalıyım?

Yeni bir kullanıcı oluşturmalı mıyım, onunla çalıştırmalı mıyım ve kullanıcının kendisini mi sileyim?

Düzenle

Aşağıdaki cevabı henüz onaylamamış çünkü itfaiyecilik çalışmıyor olabilir .

düzenle 2

firejail tamam ancak kara liste ve beyaz liste açısından tüm seçenekleri belirlemede son derece dikkatli olmak gerekiyor . Varsayılan olarak, bu linux-dergi makalesinde belirtilenleri yapmaz (ayrıca firejail yazarından bazı yorumlara bakınız ).

Kullanırken çok dikkatli olun, doğru seçenekler olmadan size yanlış bir güvenlik hissi verebilir.


Bu daha iyi olabilir Ubuntu sor
phuclv

Yanıtlar:


56

Öncelikle ve en önemlisi, eğer çok yüksek riskli bir ikiliyse ... izole edilmiş bir fiziksel makine kurmanız, binaryeri çalıştırmanız, ardından HDD'yi, anakartı ve temel olarak diğerlerini fiziksel olarak yok etmeniz gerekir. Çünkü bu gün ve yaşta robot vakumunuz bile kötü amaçlı yazılımları yayabilir. Peki ya program yüksek frekanslı veri iletimini kullanarak bilgisayar hoparlörü yoluyla mikrodalganıza bulaşmışsa ?!

Ama, şu folyo şapkadan çıkalım ve bir süreliğine gerçeğe geri dönelim.

Sanallaştırma yok, kullanımı hızlı: Firejail

Zaten Ubuntu'da paketlenmiş, çok küçük, neredeyse hiç bağımlılığı yok.
Ubuntu'da nasıl kurulur:sudo apt-get install firejail

Web sitesi: https://firejail.wordpress.com/

Paket bilgisi:

Package: firejail
Priority: optional
Section: universe/utils
Installed-Size: 457
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Reiner Herrmann <reiner@reiner-h.de>
Architecture: amd64
Version: 0.9.38-1
Depends: libc6 (>= 2.15)
Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb
Size: 136284
MD5sum: 81a9a9ef0e094e818eb70152f267b0b6
SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16
SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194
Description-en: sandbox to restrict the application environment
 Firejail is a SUID security sandbox program that reduces the risk of
 security breaches by restricting the running environment of untrusted
 applications using Linux namespaces and seccomp-bpf.  It allows a
 process and all its descendants to have their own private view of the
 globally shared kernel resources, such as the network stack, process
 table, mount table.
Description-md5: 001e4831e20916b1cb21d90a1306806f
Homepage: https://firejail.wordpress.com
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu  

Birkaç gün önce benzer bir "güvenilmeyen" ikili çalıştırmak zorunda kaldım. Ve arayışım bu çok küçük programa yol açtı.

Sanallaştırma: KVM , Virtualbox .
Bu en güvenli bahis. İkiliye bağlı olarak. Ama hey, yukarıya bakın.
Eğer siyah kuşak - siyah şapka programcısı olan "Bay Hacker" tarafından gönderilmişse, ikili sistemin sanallaştırılmış çevreden kaçma şansı vardır.

Kötü amaçlı yazılım ikili, maliyet tasarrufu yöntemi: Bir makine kiralayın! Sanal bir tane. Örnek sanal sunucu sağlayıcıları: Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr, Ramnode. Makineyi kiralarsan, ne istersen koş, sonra onları temizlerler. Büyük sağlayıcıların çoğu saat başına fatura, bu yüzden gerçekten ucuz.


Yorumlar uzun tartışmalar için değildir; bu konuşma sohbete taşındı .
Usta Geek

2

Sadece ayrı bir kurulumda çalıştırın - harici bir sürücüye veya başka bir sabit sürücüye ayrı bir kurulum kurun, ana kurulumunuzun eşlemelerinin takılı olmadığından emin olun (veya daha iyisi, bunların bağlantısını kesin ) ve test edin. Yeniden gerek duyma ihtimaline karşı bu ön kurulum işlemini yedekleyebilir ve tamamladığınızda geri çekebilirsiniz.

Kumlama / çivilemeden çok daha sağlam bir yöntemdir ve ikinci montaja tek kullanımlık olarak güvenle uygulayabilir ve / veya sadece gerektiğinde kullanabilirsiniz.


2

Firejail man sayfasından:

   Without  any  options,  the sandbox consists of a filesystem build in a
   new mount namespace, and new PID and UTS namespaces. IPC,  network  and
   user  namespaces  can  be  added  using  the  command line options. The
   default Firejail filesystem is based on the host  filesystem  with  the
   main  system directories mounted read-only. These directories are /etc,
   /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64.  Only  /home
   and /tmp are writable.

Bu üst düzey bir tanım, devam eden başka şeyler var, örneğin / boot kara listeye alınmış ve / sbin ve / usr / sbin de öyle.

https://firejail.wordpress.com/features-3/man-firejail/

Ayrıca bu belgeye de bakabilirsiniz: https://firejail.wordpress.com/documentation-2/firefox-guide/ - dosya sistemi hakkında çok iyi bir açıklamaları var.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.