Как безопасно запустить ненадежный исполняемый файл в Linux?

В наше время неплохо было бы опасаться ненадежных исполняемых файлов, но есть ли безопасный способ запустить их в вашей системе Linux, если вам действительно нужно это сделать? Сегодняшний пост SuperUser Q & A содержит несколько полезных советов в ответ на вопрос обеспокоенного читателя..

Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..

Вопрос

Читатель SuperUser Emanuele хочет знать, как безопасно запустить ненадежный исполняемый файл в Linux:

Я загрузил исполняемый файл, скомпилированный сторонним разработчиком, и мне нужно запустить его в моей системе (Ubuntu Linux 16.04, x64) с полным доступом к ресурсам HW, таким как процессор и графический процессор (через драйверы NVIDIA).

Предположим, что этот исполняемый файл содержит вирус или бэкдор, как мне его запустить? Должен ли я создать новый профиль пользователя, запустить его, а затем удалить профиль пользователя?

Как безопасно запустить ненадежный исполняемый файл в Linux?

Ответ

Авторы SuperUser Шики и Эмануэле имеют ответ для нас. Прежде всего, Шики:

Прежде всего, если это бинарный файл с очень высокой степенью риска, вам придется настроить изолированную физическую машину, запустить двоичный файл, а затем физически уничтожить жесткий диск, материнскую плату и, в основном, все остальное, потому что в этот день и даже ваш робот-пылесос может распространять вредоносное ПО. А что, если программа уже заразила вашу микроволновку через динамики компьютера с помощью высокочастотной передачи данных?!

Но давайте снимем эту шляпу из фольги и немного вернемся к реальности.

Нет виртуализации - быстро использовать

Firejail

Мне пришлось запустить подобный ненадежный двоичный файл всего несколько дней назад, и мой поиск привел к этой очень крутой маленькой программе. Он уже упакован для Ubuntu, очень маленький и практически не имеет зависимостей. Вы можете установить его на Ubuntu, используя: sudo apt-get установить firejail

Информация о пакете:

Виртуализация

KVM или Virtualbox

Это самая безопасная ставка в зависимости от бинарного файла, но смотрите выше. Если он был отправлен «г-н Хакер », который является« черным поясом », программистом в« черной шляпе », есть шанс, что двоичный файл сможет избежать виртуальной среды.

Бинарный вредоносный код - метод экономии

Аренда виртуальной машины! Например, провайдеры виртуальных серверов, такие как Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr и Ramnode. Вы арендуете машину, запускаете все, что вам нужно, тогда они уничтожат ее. Почасовая оплата большинства крупных провайдеров, так что это действительно дешево.

Далее следует ответ от Эмануэле:

Слово предостережения. С Firejail все в порядке, но нужно быть предельно осторожным, указав все параметры в терминах черного и белого списков. По умолчанию он не делает то, что цитируется в этой статье Linux Magazine. Автор Firejail также оставил несколько комментариев об известных проблемах на Github..

Будьте предельно осторожны, когда используете его, это может дать вам ложное чувство безопасности без правильные варианты.

Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.

Кредит Фотографии: Картинка Тюремной камеры (Clker.com)