In deze tijd is het geen slecht idee om wantrouwend te zijn voor niet-vertrouwde uitvoerbare bestanden, maar is er een veilige manier om er een op je Linux-systeem uit te voeren als je dat echt nodig hebt? De SuperUser Q & A-post van vandaag bevat nuttig advies als reactie op de vraag van een bezorgde lezer.
De Vraag & Antwoord-sessie van vandaag komt tot ons dankzij SuperUser – een onderdeel van Stack Exchange, een community-gedreven groepering van Q & A-websites.
De vraag
SuperUser-lezer Emanuele wil weten hoe hij veilig een niet-vertrouwd uitvoerbaar bestand op Linux kan draaien:
Ik heb een uitvoerbaar bestand gedownload dat is samengesteld door een derde partij en ik moet het op mijn systeem uitvoeren (Ubuntu Linux 16.04, x64) met volledige toegang tot hardwarebronnen zoals de CPU en GPU (via de NVIDIA-stuurprogramma’s).
Stel dat dit uitvoerbare bestand een virus of achterdeur bevat, hoe moet ik dit dan uitvoeren? Moet ik een nieuw gebruikersprofiel maken, het uitvoeren en vervolgens het gebruikersprofiel verwijderen?
Hoe voer je veilig een niet-vertrouwd uitvoerbaar bestand uit op Linux?
Het antwoord
SuperUser-bijdragers Shiki en Emanuele hebben het antwoord voor ons. Ten eerste, Shiki:
Allereerst, als het een binair bestand met een zeer hoog risico is, zou u een geïsoleerde fysieke machine moeten opzetten, het binaire bestand moeten uitvoeren en vervolgens de harde schijf, het moederbord en eigenlijk al de rest fysiek moeten vernietigen, want in deze tijd en leeftijd, kan zelfs uw robotstofzuiger malware verspreiden. En wat als het programma uw magnetron al besmet via de luidsprekers van de computer met behulp van hoogfrequente gegevensoverdracht ?!
Maar laten we die hoed van aluminiumfolie afzetten en even teruggaan naar de realiteit.
Geen virtualisatie – snel in gebruik
Brandgevangenis
Ik moest een paar dagen geleden een soortgelijk niet-vertrouwd binair bestand draaien en mijn zoektocht leidde tot dit erg coole kleine programma. Het is al verpakt voor Ubuntu, erg klein, en heeft vrijwel geen afhankelijkheden. U kunt het op Ubuntu installeren met: sudo apt-get install firejail
Pakket info:
Virtualisatie
KVM of Virtualbox
Dit is de veiligste gok, afhankelijk van het binaire bestand, maar goed, zie hierboven. Als het is verzonden door “Mr. Hacker ”die een black belt, black hat-programmeur is, bestaat de kans dat het binaire bestand kan ontsnappen aan een gevirtualiseerde omgeving.
Malware binair – kostenbesparende methode
Huur een virtuele machine! Bijvoorbeeld virtuele serverproviders zoals Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr en Ramnode. U huurt de machine, voert alles uit wat u nodig heeft en zij zullen het wegvagen. De meeste grotere providers rekenen per uur, dus het is echt goedkoop.
Gevolgd door het antwoord van Emanuele:
Een woord van waarschuwing. Firejail is OK, maar men moet uiterst voorzichtig zijn bij het specificeren van alle opties in termen van de zwarte lijst en de witte lijst. Standaard doet het niet wat in dit Linux Magazine-artikel wordt geciteerd. De auteur van Firejail heeft ook enkele opmerkingen achtergelaten over bekende problemen bij Github.
Wees uiterst voorzichtig wanneer u het gebruikt, het kan u een vals gevoel van veiligheid geven zonder het juiste opties.
Iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden lezen van andere technisch onderlegde Stack Exchange-gebruikers? Bekijk hier de volledige discussiethread.
Image Credit: Prison Cell Clip Art (Clker.com)