Jak bezpiecznie uruchamiać niezaufany plik wykonywalny w systemie Linux?

W dzisiejszych czasach nie jest złym pomysłem bycie nieufnym wobec niezaufanych plików wykonywalnych, ale czy istnieje bezpieczny sposób na uruchomienie go w systemie Linux, jeśli naprawdę tego potrzebujesz? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera pomocne wskazówki w odpowiedzi na zapytanie czytelnika.

Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.

Pytanie

Czytnik SuperUser Emanuele chce wiedzieć, jak bezpiecznie uruchomić niezaufany plik wykonywalny w systemie Linux:

Pobrałem plik wykonywalny skompilowany przez stronę trzecią i muszę go uruchomić na moim systemie (Ubuntu Linux 16.04, x64) z pełnym dostępem do zasobów HW, takich jak procesor i GPU (przez sterowniki NVIDIA).

Załóżmy, że ten plik wykonywalny zawiera wirusa lub backdoora, jak mam go uruchomić? Czy mogę utworzyć nowy profil użytkownika, uruchomić go, a następnie usunąć profil użytkownika?

Jak bezpiecznie uruchomić niezaufany plik wykonywalny w systemie Linux?

Odpowiedź

Współautorzy SuperUser, Shiki i Emanuele, mają dla nas odpowiedź. Najpierw Shiki:

Przede wszystkim, jeśli jest to plik binarny o bardzo wysokim ryzyku, musisz ustawić izolowaną maszynę fizyczną, uruchomić plik binarny, a następnie fizycznie zniszczyć dysk twardy, płytę główną i zasadniczo całą resztę, ponieważ w tym dniu i wiek, nawet próżnia robota może rozprzestrzeniać złośliwe oprogramowanie. A co, jeśli program już zainfekował twoją kuchenkę mikrofalową przez głośniki komputera za pomocą transmisji danych o wysokiej częstotliwości?!

Ale zdejmijmy ten kapelusz z folii aluminiowej i odskoczmy trochę do rzeczywistości.

Brak wirtualizacji - Szybka w użyciu

Firejail

Musiałem uruchomić podobny niezaufany plik binarny zaledwie kilka dni temu i moje poszukiwania doprowadziły do ​​tego bardzo fajnego małego programu. Jest już zapakowany do Ubuntu, bardzo mały i praktycznie nie ma zależności. Możesz zainstalować go na Ubuntu używając: sudo apt-get zainstaluj firejail

Informacje o pakiecie:

Wirtualizacja

KVM lub Virtualbox

Jest to najbezpieczniejszy zakład w zależności od binarnej, ale hej, patrz wyżej. Jeśli został wysłany przez "Mr. Hacker "który jest czarnym paskiem, programistą w czarnych kapeluszach, jest szansa, że ​​plik binarny może uciec zwirtualizowanemu środowisku.

Malware Binary - Cost Saver Method

Wynajmij maszynę wirtualną! Na przykład dostawcy serwerów wirtualnych, tacy jak Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr i Ramnode. Wynajmujesz maszynę, uruchamiasz wszystko, czego potrzebujesz, a potem to zniszczą. Większość większych dostawców opłat za godzinę, więc to naprawdę jest tanie.

Później odpowiedź Emanuela:

Słowo ostrzeżenia. Firejail jest OK, ale trzeba być bardzo ostrożnym w określaniu wszystkich opcji pod względem czarnej listy i białej listy. Domyślnie nie robi tego, co jest cytowane w tym artykule na temat Linux Magazine. Autor Firejail również zostawił kilka komentarzy na temat znanych problemów na Github.

Bądź wyjątkowo ostrożny, gdy go używasz, może dać fałszywe poczucie bezpieczeństwa bez odpowiednie opcje.

Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.

Image Credit: Prison Cell Clip Art (Clker.com)