Как безопасно изпълнявате ненадежден изпълним файл на Linux?

В този ден и възраст, не е лоша идея да бъдете позорни за ненадеждни изпълними файлове, но има ли сигурен начин да го изпълните на вашата Linux система, ако наистина трябва да го направите? Днешната публикация за въпроси и отговори на SuperUser има някои полезни съвети в отговор на притеснен въпрос на читателя.

Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.

Въпроса

Четецът на SuperUser Emanuele иска да знае как безопасно да изпълнява ненадежден изпълним файл на Linux:

Изтеглил съм изпълним файл, компилиран от трета страна, и трябва да го стартирам на моята система (Ubuntu Linux 16.04, x64) с пълен достъп до HW ресурси като CPU и GPU (чрез драйверите на NVIDIA).

Да предположим, че този изпълним файл съдържа вирус или задна вратичка, как трябва да го стартирам? Трябва ли да създам нов потребителски профил, да го стартирам, след което да изтрия потребителския профил?

Как безопасно да изпълните ненадежден изпълним файл на Linux?

Отговорът

Сътрудниците на SuperUser Шики и Емануеле имат отговор за нас. Първо нагоре, Шики:

Първо и преди всичко, ако това е двоичен файл с висок риск, ще трябва да настроите изолирана физическа машина, да стартирате двоичния файл, след това физически да унищожите твърдия диск, дънната платка и основно всичко останало, защото в този ден възраст, дори вашият робот вакуум може да разпространи зловреден софтуер. И какво, ако програмата вече е заразила вашата микровълнова фурна през високоговорителите на компютъра, използвайки високочестотни данни?!

Но нека извадим шапката от фолио и да се върнем обратно към реалността за малко.

Без виртуализация - Бързо за използване

Firejail

Трябваше да пусна подобен ненадежден двоичен файл само преди няколко дни и търсенето ми доведе до тази много готина малка програма. Вече е опакован за Ubuntu, много малък и няма почти никакви зависимости. Можете да го инсталирате на Ubuntu, като използвате: sudo apt-get install firejail

Информация за пакета:

виртуализация

KVM или Virtualbox

Това е най-сигурният залог в зависимост от двоичния, но хей, виж по-горе. Ако е изпратено от „Mr. Хакер, който е черен колан, черна шапка програмист, има шанс, че двоичните могат да избягат от виртуализирана среда.

Двоичен двоичен софтуер - метод за спестяване на разходи

Наемете виртуална машина! Например доставчици на виртуални сървъри като Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr и Ramnode. Вие наемате машината, изпълнявате каквото ви трябва, след това ще го изтрият. Повечето от по-големите доставчици плащат по час, така че наистина е евтино.

Следван от отговора от Емануеле:

Дума на предпазливост. Firejail е ОК, но трябва да бъдете изключително внимателни при определяне на всички опции от гледна точка на черния списък и белия списък. По подразбиране той не прави това, което е цитирано в тази статия в Linux Magazine. Авторът на Firejail също е оставил някои коментари за известни проблеми в Github.

Бъдете изключително внимателни, когато го използвате, то може да ви даде фалшиво чувство за сигурност без него правилните опции.

Имате ли какво да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.

Кредит за изображението: Затворническа клетъчна картина (Clker.com)