Úvodná » ako » Ako bezpečne spustiť nedôveryhodný spustiteľný súbor v systéme Linux?

    Ako bezpečne spustiť nedôveryhodný spustiteľný súbor v systéme Linux?

    V dnešnej dobe nie je zlý nápad, aby ste boli nepochopení nedôveryhodnými spustiteľnými súbormi, ale existuje bezpečný spôsob spustenia jedného na vašom systéme Linux, ak to skutočne potrebujete? Dnešný príspevok typu SuperUser Q & A obsahuje niekoľko užitočných rád v odpovedi na otázku znepokojeného čitateľa.

    Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.

    Otázka

    Čítačka SuperUser Emanuele chce vedieť, ako bezpečne spustiť nedôveryhodný spustiteľný súbor na systéme Linux:

    Stiahol som spustiteľný súbor zostavený treťou stranou a musím ho spustiť na svojom systéme (Ubuntu Linux 16.04, x64) s plným prístupom k zdrojom HW, ako je CPU a GPU (prostredníctvom ovládačov NVIDIA).

    Predpokladajme, že tento spustiteľný súbor obsahuje vírus alebo backdoor, ako by som mal spustiť? Mám vytvoriť nový používateľský profil, spustiť ho a potom odstrániť profil používateľa?

    Ako môžete bezpečne spustiť nedôveryhodný spustiteľný súbor v systéme Linux?

    Odpoveď

    Príslušníci služby SuperUser Shiki a Emanuele majú odpoveď pre nás. Prvýkrát, Shiki:

    V prvom rade, ak ide o binárny súbor s veľmi vysokým rizikom, musíte vytvoriť izolovaný fyzický počítač, spustiť binárny súbor, fyzicky zničiť pevný disk, základnú dosku a v podstate všetky ostatné, pretože v tento deň a veku, aj vaše vákuum robota môže šíriť škodlivý softvér. A čo ak program už infikoval vašu mikrovlnnú rúru cez reproduktory počítača pomocou prenosu vysokofrekvenčných dát?!

    Ale poďme si zobrať ten klobúk a vráťme sa trochu do reality.

    Žiadna virtualizácia - Rýchlo sa používa

    Firejail

    Musel som spustiť podobný nedôveryhodný binárny súbor len pred pár dňami a moje hľadanie viedlo k tomuto veľmi coolmu malému programu. Je už zabalený pre Ubuntu, veľmi malý a nemá prakticky žiadne závislosti. Môžete ho nainštalovať na Ubuntu pomocou: sudo apt-get inštalovať firejail

    Informácie o balíčkoch:

    virtualizácie

    KVM alebo Virtualbox

    Toto je najbezpečnejšia stávka v závislosti od binárneho, ale hej, pozri vyššie. Ak ju poslal "pán. Hacker ", ktorý je čiernym pásom, čiernym klobúkom programátorom, existuje šanca, že binárne môže uniknúť virtualizovanému prostrediu.

    Malá binárna metóda - metóda šetrenia nákladov

    Prenájom virtuálneho počítača! Napríklad poskytovatelia virtuálnych serverov, ako sú Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr a Ramnode. Prenajmete si stroj, spustite všetko, čo potrebujete, a potom ho zotriete. Väčšina väčších poskytovateľov účtuje za hodinu, takže je naozaj lacná.

    Nasledovala odpoveď od Emanuele:

    Slovo opatrnosti. Firejail je v poriadku, ale musí byť mimoriadne opatrný pri určovaní všetkých možností, pokiaľ ide o čierny zoznam a bielu listinu. V predvolenom nastavení nečiní to, čo je uvedené v tomto článku časopisu Linux Magazine. Firejail autor tiež nechal niekoľko komentárov o známych otázkach v Github.

    Buďte veľmi opatrní, keď ho používate, mohlo by to mať falošný pocit bezpečia bez správne možnosti.


    Máte niečo doplniť vysvetlenie? Znie to v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.

    Obrazový kredit: Prison Cell Clip Art (Clker.com)