คุณจะเรียกใช้ไฟล์ปฏิบัติการที่ไม่น่าเชื่อถือได้อย่างปลอดภัยบน Linux ได้อย่างไร
ในยุคและอายุนี้ไม่ใช่ความคิดที่ดีที่จะโกงไฟล์ปฏิบัติการที่ไม่น่าเชื่อถือ แต่มีวิธีที่ปลอดภัยในการรันไฟล์หนึ่งบนระบบ Linux ถ้าคุณต้องการทำเช่นนั้นจริงหรือ? ประกาศถามตอบ SuperUser วันนี้มีคำแนะนำที่เป็นประโยชน์ในการตอบคำถามของผู้อ่านที่เป็นกังวล.
เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.
คำถาม
ผู้อ่าน SuperUser Emanuele ต้องการทราบวิธีเรียกใช้ไฟล์ปฏิบัติการที่ไม่น่าเชื่อถือใน Linux อย่างปลอดภัย:
ฉันดาวน์โหลดไฟล์ปฏิบัติการที่รวบรวมโดยบุคคลที่สามและฉันจำเป็นต้องเรียกใช้บนระบบของฉัน (Ubuntu Linux 16.04, x64) พร้อมการเข้าถึงทรัพยากร HW อย่างเต็มรูปแบบเช่น CPU และ GPU (ผ่านไดรเวอร์ NVIDIA).
สมมติว่าไฟล์ที่ปฏิบัติการนี้มีไวรัสหรือแบ็คดอร์ฉันจะรันได้อย่างไร? ฉันควรสร้างโปรไฟล์ผู้ใช้ใหม่รันหรือไม่จากนั้นลบโปรไฟล์ผู้ใช้?
คุณจะรันไฟล์เรียกทำงานที่ไม่น่าเชื่อถือได้อย่างปลอดภัยบน Linux ได้อย่างไร?
คำตอบ
ผู้สนับสนุน SuperUser ชิกิและเอ็มมานูเอลมีคำตอบให้เรา ก่อนอื่นชิกิ:
ก่อนอื่นถ้าเป็นไฟล์ไบนารี่ที่มีความเสี่ยงสูงมากคุณจะต้องติดตั้งเครื่องแยกทางกายภาพเรียกใช้ไฟล์ไบออสจากนั้นทำลายฮาร์ดไดรฟ์มาเธอร์บอร์ดและโดยทั่วไปจะเหลือเพราะในวันนี้และ อายุแม้แต่สูญญากาศหุ่นยนต์ของคุณก็สามารถแพร่กระจายมัลแวร์ได้ และถ้าโปรแกรมติดไมโครเวฟของคุณผ่านลำโพงของคอมพิวเตอร์โดยใช้การส่งข้อมูลความถี่สูง?!
แต่ขอถอดหมวกเหล็กวิลาดออกแล้วกระโดดกลับสู่ความเป็นจริงสักหน่อย.
ไม่มีการจำลองเสมือน - ใช้งานง่าย
Firejail
ฉันต้องเรียกใช้ไฟล์ไบนารีที่ไม่น่าไว้วางใจที่คล้ายกันเมื่อไม่กี่วันก่อนและการค้นหาของฉันก็นำไปสู่โปรแกรมขนาดเล็กที่ยอดเยี่ยมนี้ มันบรรจุอยู่แล้วสำหรับ Ubuntu ขนาดเล็กมากและแทบไม่มีการพึ่งพา คุณสามารถติดตั้งบน Ubuntu ได้โดยใช้: sudo apt-get ติดตั้ง firejail
ข้อมูลแพ็คเกจ:
virtualization
KVM หรือ Virtualbox
นี่คือเดิมพันที่ปลอดภัยที่สุดขึ้นอยู่กับไบนารี แต่เฮ้ดูด้านบน ถ้ามันถูกส่งโดย“ นาย แฮ็กเกอร์” ซึ่งเป็นเข็มขัดหนังสีดำโปรแกรมเมอร์หมวกดำมีโอกาสที่ไบนารีจะหนีจากสภาพแวดล้อมเสมือนจริงได้.
มัลแวร์ไบนารี - วิธีประหยัดต้นทุน
เช่าเครื่องเสมือนจริง! ตัวอย่างเช่นผู้ให้บริการเซิร์ฟเวอร์เสมือนเช่น Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr และ Ramnode คุณเช่าเครื่องทำงานอะไรก็ตามที่คุณต้องการจากนั้นพวกเขาก็จะเช็ดมันออกไป ผู้ให้บริการรายใหญ่ที่เรียกเก็บเงินเป็นรายชั่วโมงดังนั้นจึงมีราคาถูกจริงๆ.
ตามด้วยคำตอบจาก Emanuele:
คำเตือน Firejail นั้นใช้ได้ แต่ต้องระวังอย่างมากในการระบุตัวเลือกทั้งหมดในแง่ของบัญชีดำและบัญชีขาว ตามค่าเริ่มต้นจะไม่ทำสิ่งที่อ้างถึงในบทความของนิตยสาร Linux นี้ ผู้เขียนของ Firejail ยังได้แสดงความคิดเห็นเกี่ยวกับปัญหาที่ทราบที่ Github.
ระวังอย่างยิ่งเมื่อคุณใช้มันอาจทำให้คุณรู้สึกถึงความปลอดภัยโดยไม่ต้อง ตัวเลือกที่เหมาะสม.
มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.
เครดิตรูปภาพ: ภาพตัดปะเซลล์ (Clker.com)