信頼できない実行可能ファイルをLinuxで安全に実行するにはどうすればよいですか?

34

サードパーティによってコンパイルされた実行可能ファイルをダウンロードしましたが、CPUやGPUなどのHWリソースへのフルアクセス(nVidiaドライバーを使用)で自分のボックス(Ubuntu 16.04-x64)で実行する必要があります。

この実行可能ファイルにウイルスまたはバックドアが含まれている場合、どのように実行する必要がありますか?

新しいユーザーを作成し、それを実行して、ユーザー自体を削除する必要がありますか?

編集する

firejail が機能していない可能性があるため、以下の回答をまだ承認していません。

編集2

firejailは大丈夫ですが、ブラックリストホワイトリストの観点からすべてのオプションを指定する際には非常に注意する必要があります。デフォルトでこの linux-magazineの記事で引用されいることは行いません(firejail作者からのコメントも参照してください)。

使用するときは十分に注意してください。適切なオプションがないと、誤った安心感を覚える可能性があります。

linux  sandbox  exec 
エマヌエーレ
ソース
これはAsk Ubuntuの
phuclv

回答:

56

何よりもまず、それが非常にリスクの高いバイナリである場合、隔離された物理マシンをセットアップし、バイナリを実行してから、HDD、マザーボード、および基本的にその他すべてを物理的に破壊する必要があります。なぜなら、今日では、ロボットの掃除機でさえマルウェアを拡散させる可能性があるからです。そして、プログラムが既に高周波データ送信を使用してPCスピーカーを通してあなたのマイクロ波に感染している場合はどうなりますか?!

しかし、そのアルミ箔の帽子を脱いで、少し現実に戻りましょう。

仮想化なし、使いやすい: Firejail

すでにUbuntuにパッケージ化されており、非常に小さく、実質的に依存関係はありません。
Ubuntuにインストールする方法:sudo apt-get install firejail

ウェブサイト:https : //firejail.wordpress.com/

パッケージ情報: 

Package: firejail
Priority: optional
Section: universe/utils
Installed-Size: 457
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Reiner Herrmann <reiner@reiner-h.de>
Architecture: amd64
Version: 0.9.38-1
Depends: libc6 (>= 2.15)
Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb
Size: 136284
MD5sum: 81a9a9ef0e094e818eb70152f267b0b6
SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16
SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194
Description-en: sandbox to restrict the application environment
 Firejail is a SUID security sandbox program that reduces the risk of
 security breaches by restricting the running environment of untrusted
 applications using Linux namespaces and seccomp-bpf.  It allows a
 process and all its descendants to have their own private view of the
 globally shared kernel resources, such as the network stack, process
 table, mount table.
Description-md5: 001e4831e20916b1cb21d90a1306806f
Homepage: https://firejail.wordpress.com
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu

数日前に、同様の「信頼できない」バイナリを実行する必要がありました。そして、私の検索はこの非常にクールな小さなプログラムにつながりました。

仮想化: KVMVirtualbox
これが最も安全な賭けです。バイナリに依存します。しかし、ちょっと、上記を参照してください。
ブラックベルト-ブラックハットプログラマーである「ミスターハッカー」によって送信された場合、バイナリが仮想化環境から逃れる可能性があります。

マルウェアバイナリ、コスト節約方法:マシンをレンタルしてください!仮想のもの。仮想サーバープロバイダーの例:Amazon(AWS)、Microsoft(Azure)、DigitalOcean、Linode、Vultr、Ramnode。マシンをレンタルし、必要なものを何でも実行すると、それらはワイプされます。大規模なプロバイダーのほとんどは1時間ごとに請求するので、本当に安いです。

アパッチ
ソース
コメントは詳細なディスカッション用ではありません。この会話はチャットに移動さました
ジャーニーマンオタク
2

別のインストールで実行するだけです-外部ドライブまたは別のハードドライブに個別のインストールをセットアップし、メインインストールのパーティションがマウントされていないことを確認し(または、さらに良いのは、それらを切断して)、テストします。再度必要になった場合に備えて、このプレインストールをバックアップし、完了したらそれを破棄することができます。

サンドボックス化/ジェイル化よりもはるかに堅牢な方法であり、2番目のインストールを確実に使い捨てとして処理したり、必要な場合にのみ使用したりできます。

ジャーニーマンオタク
ソース
2

Firejailのmanページから:

   Without  any  options,  the sandbox consists of a filesystem build in a
   new mount namespace, and new PID and UTS namespaces. IPC,  network  and
   user  namespaces  can  be  added  using  the  command line options. The
   default Firejail filesystem is based on the host  filesystem  with  the
   main  system directories mounted read-only. These directories are /etc,
   /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64.  Only  /home
   and /tmp are writable.

これは高レベルの説明です。たとえば、/ bootはブラックリストに登録されており、/ sbinや/ usr / sbinも同様です。

https://firejail.wordpress.com/features-3/man-firejail/

このドキュメントもご覧くださいhttps : //firejail.wordpress.com/documentation-2/firefox-guide/-彼らはファイルシステムの非常に良い説明を持っています。

vvasea
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.