Поиск по сайту:

Как безопасно запустить ненадежный исполняемый файл в Linux?


В наши дни неплохо с подозрением относиться к ненадежным исполняемым файлам, но есть ли безопасный способ запустить их в вашей системе Linux, если вам это действительно нужно? В сегодняшней публикации SuperUser Q&A есть несколько полезных советов в ответ на вопрос обеспокоенного читателя.

Сегодняшняя сессия вопросов и ответов проводится благодаря SuperUser — подразделению Stack Exchange, группы веб-сайтов вопросов и ответов, управляемой сообществом.

Вопрос

Читатель SuperUser Эмануэле хочет знать, как безопасно запустить ненадежный исполняемый файл в Linux:

Я скачал исполняемый файл, скомпилированный третьей стороной, и мне нужно запустить его в своей системе (Ubuntu Linux 16.04, x64) с полным доступом к аппаратным ресурсам, таким как ЦП и ГП (через драйверы NVIDIA).

Предположим, этот исполняемый файл содержит вирус или бэкдор, как мне его запустить? Должен ли я создать новый профиль пользователя, запустить его, а затем удалить профиль пользователя?

Как безопасно запустить ненадежный исполняемый файл в Linux?

Ответ

У авторов SuperUser Шики и Эмануэле есть ответ для нас. Во-первых, Шики:

Прежде всего, если это двоичный файл с очень высоким риском, вам придется настроить изолированную физическую машину, запустить двоичный файл, а затем физически уничтожить жесткий диск, материнскую плату и в основном все остальное, потому что в этот день и возраст, даже ваш робот-пылесос может распространять вредоносное ПО. А что, если программа уже заразила вашу микроволновку через динамики компьютера с помощью высокочастотной передачи данных?!

Но давайте снимем эту шапочку из фольги и ненадолго вернемся к реальности.

Никакой виртуализации — быстрое использование

пожарная тюрьма

Мне пришлось запускать похожий ненадежный бинарный файл всего несколько дней назад, и мои поиски привели к этой очень классной небольшой программе. Он уже упакован для Ubuntu, очень маленький и практически не имеет зависимостей. Вы можете установить его в Ubuntu, используя: sudo apt-get install firejail

Информация о пакете:

Виртуализация

КВМ или виртуальный бокс

Это самая безопасная ставка в зависимости от бинарника, но эй, смотрите выше. Если оно было отправлено «Mr. Хакер», который является черным поясом, программистом в черной шляпе, есть шанс, что двоичный файл может покинуть виртуализированную среду.

Двоичный файл вредоносного ПО — метод экономии

Арендуйте виртуальную машину! Например, поставщики виртуальных серверов, такие как Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr и Ramnode. Вы арендуете машину, запускаете все, что вам нужно, а потом они ее уничтожат. Большинство крупных провайдеров выставляют счет по часам, так что это действительно дешево.

Далее следует ответ Эмануэле:

Слово предостережения. С Firejail все в порядке, но нужно быть предельно осторожным при указании всех параметров с точки зрения черного и белого списков. По умолчанию он не делает того, что цитируется в этой статье Linux Magazine. Автор Firejail также оставил несколько комментариев об известных проблемах на Github.

Будьте предельно осторожны при его использовании, это может дать вам ложное чувство безопасности без правильных параметров.

Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь.

Изображение предоставлено: Prison Cell Clip Art (Clker.com)