В наше время неплохо было бы опасаться ненадежных исполняемых файлов, но есть ли безопасный способ запустить их в вашей системе Linux, если вам действительно нужно это сделать? В сегодняшней публикации SuperUser Q & A есть несколько полезных советов в ответ на вопрос читателя.
Сегодняшняя сессия Вопросов и Ответов приходит к нам благодаря SuperUser — подразделению Stack Exchange, объединенной группой веб-сайтов вопросов и ответов.
Вопрос
Читатель SuperUser Emanuele хочет знать, как безопасно запустить ненадежный исполняемый файл в Linux:
Я загрузил исполняемый файл, скомпилированный сторонним разработчиком, и мне нужно запустить его в моей системе (Ubuntu Linux 16.04, x64) с полным доступом к ресурсам HW, таким как процессор и графический процессор (через драйверы NVIDIA).
Предположим, что этот исполняемый файл содержит вирус или бэкдор, как мне его запустить? Должен ли я создать новый профиль пользователя, запустить его, а затем удалить профиль пользователя?
Как вы безопасно запускаете ненадежный исполняемый файл в Linux?
Ответ
Авторы SuperUser Шики и Эмануэле имеют ответ для нас. Прежде всего, Шики:
Прежде всего, если это бинарный файл с очень высоким риском, вам придется настроить изолированную физическую машину, запустить двоичный файл, а затем физически уничтожить жесткий диск, материнскую плату и в основном все остальное, потому что в этот день и даже ваш робот-пылесос может распространять вредоносное ПО. А что, если программа уже заразила вашу микроволновку через динамики компьютера с помощью высокочастотной передачи данных ?!
Но давайте снимем эту шляпу из фольги и немного вернемся к реальности.
Нет виртуализации — быстро использовать
Мне пришлось запустить подобный ненадежный двоичный файл всего несколько дней назад, и мой поиск привел к этой очень крутой маленькой программе. Он уже упакован для Ubuntu, очень маленький и практически не имеет зависимостей. Вы можете установить его в Ubuntu используя: sudo apt-get install firejail
Информация о пакете:
Виртуализация
KVM или Virtualbox
Это самая безопасная ставка в зависимости от бинарного файла, но смотрите выше. Если он был отправлен «г-н Хакер », который является« черным поясом », программистом в« черной шляпе », есть шанс, что двоичный файл сможет избежать виртуальной среды.
Бинарный вредоносный код — метод экономии
Аренда виртуальной машины! Например, провайдеры виртуальных серверов, такие как Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr и Ramnode. Вы берете машину напрокат, запускаете все, что вам нужно, тогда они уничтожат ее. Большинство крупных провайдеров выставляют счета за час, поэтому это действительно дешево.
Далее следует ответ от Эмануэле:
Слово предостережения. С Firejail все в порядке, но нужно быть предельно осторожным, указав все параметры в терминах черного и белого списков. По умолчанию он не делает то, что цитируется в этой статье Linux Magazine . Автор Firejail также оставил некоторые комментарии об известных проблемах на Github .
Будьте предельно осторожны, когда используете его, это может дать вам ложное чувство безопасности без правильных вариантов .
Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других опытных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .
Кредит изображения: Картинка Тюремной камеры (Clker.com)