Como você executa com segurança um arquivo executável não confiável no Linux?

Hoje em dia, não é uma má idéia desconfiar de arquivos executáveis ​​não confiáveis, mas existe uma maneira segura de executar um em seu sistema Linux se você realmente precisar fazer isso? A postagem de perguntas e respostas do SuperUser de hoje tem alguns conselhos úteis em resposta à consulta de um preocupado leitor.

A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas conduzido pela comunidade..

A questão

Leitor SuperUser Emanuele quer saber como executar com segurança um arquivo executável não confiável no Linux:

Eu fiz o download de um arquivo executável compilado por terceiros e preciso executá-lo no meu sistema (Ubuntu Linux 16.04, x64) com acesso total aos recursos HW, como CPU e GPU (através dos drivers NVIDIA).

Suponha que este arquivo executável contenha um vírus ou backdoor, como devo executá-lo? Devo criar um novo perfil de usuário, executá-lo e excluir o perfil do usuário?

Como você executa com segurança um arquivo executável não confiável no Linux?

A resposta

Os colaboradores do SuperUser, Shiki e Emanuele, têm a resposta para nós. Primeiro, Shiki:

Em primeiro lugar, se for um arquivo binário de alto risco, você teria que configurar uma máquina física isolada, executar o arquivo binário, destruir fisicamente o disco rígido, a placa-mãe e basicamente todo o resto, porque neste dia e idade, até mesmo o seu robô vácuo pode espalhar malware. E se o programa já infectou seu micro-ondas através dos alto-falantes do computador usando transmissão de dados de alta freqüência??!

Mas vamos tirar o chapéu de papel alumínio e voltar para a realidade um pouco.

Sem virtualização - rápida de usar

Firejail

Eu tive que executar um arquivo binário não confiável semelhante há apenas alguns dias e minha pesquisa levou a este programa pequeno muito legal. Já está empacotado para o Ubuntu, muito pequeno, e praticamente não tem dependências. Você pode instalá-lo no Ubuntu usando: sudo apt-get install firejail

Informações do pacote:

Virtualização

KVM ou Virtualbox

Esta é a aposta mais segura dependendo do binário, mas ei, veja acima. Se foi enviado por “Mr. Hacker ”, que é faixa preta, programador de black hat, há uma chance de que o binário possa escapar de um ambiente virtualizado.

Malware Binary - Método de Economia de Custos

Alugue uma máquina virtual! Por exemplo, provedores de servidores virtuais, como Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr e Ramnode. Você aluga a máquina, executa o que precisa, depois a limpa. A maioria dos provedores maiores cobra por hora, então é realmente barato.

Seguido pela resposta de Emanuele:

Uma palavra de cautela. Firejail está OK, mas é preciso ter muito cuidado ao especificar todas as opções em termos de lista negra e lista branca. Por padrão, ele não faz o que é citado neste artigo da Linux Magazine. O autor de Firejail também deixou alguns comentários sobre problemas conhecidos no Github.

Seja extremamente cuidadoso ao usá-lo, isso pode lhe dar uma falsa sensação de segurança sem opções certas.

Tem algo a acrescentar à explicação? Som desligado nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.

Crédito de imagem: Clip art de prisão (Clker.com)