Как сделать песочницу для приложений?

Rufus является утилитой, которая помогает отформатировать и создать загрузочные карты флэш-памяти с интерфейсом USB, такие как USB keys/pendrives, карты памяти, и т.д. Rufus может быть особенно полезным в случаях, где загрузочные медиа создали в Windows другим GUI Linux, живые создатели USB, такие как Универсальный Установщик USB и UNetbootin застревают и не загрузятся. Rufus является рекомендуемым приложением в официальном веб-сайте Ubuntu для того, чтобы сделать загрузочный живой USB Ubuntu в Windows. Rufus может также сделать загрузочный Windows 10 USB.

Системные требования

Windows XP или позже, 32-разрядные или 64-разрядный

Использование

  1. Вам будут нужны 2 ГБ или более крупная карта флэш-памяти с интерфейсом USB и файл ISO Ubuntu. Для Ubuntu 18.04 и позже карта флэш-памяти с интерфейсом USB должна составить 4 ГБ или больше. Загрузите исполняемый файл Rufus для Windows от здесь и выполните его. Никакая установка не необходима.

  2. Выбор Ваша метка тома устройства.

  3. Нажимают на изображение диска для выбора Ubuntu .iso файл.

  4. , Если это - Ubuntu .iso, Rufus автоматически выберет файловую систему FAT32.

  5. Нажимают Start, и сообщение будет казаться говорящим, что все Ваши данные USB будут удалены, и Карта памяти будет отформатирована.

  6. Нажимают OK.

  7. Щелчок Близкий .

enter image description here

66
задан 07.05.2020, 10:15

7 ответов

Полная виртуализация / эмуляция (VirtualBox)

Одним из возможных решений является программное обеспечение для виртуализации, такое как VirtualBox, которое вы можете найти в центре программного обеспечения.

  • Установить виртуальную коробку
  • Создать виртуальную машину с включенной сетью
  • Установить Ubuntu или, возможно, более легкий рабочий стол, такой как Lubuntu
  • Полностью обновить установленную ОС ( изнутри Virtual Box)
  • Отключить сеть на виртуальной машине
  • Сделать снимок

Теперь вы можете установить программное обеспечение, которому вы не доверяете, чтобы увидеть, что оно делает , Он не может расстроить внешний мир или вы размещаете ОС, поскольку у него нет доступа.

Однако, это может привести к повреждению вашей виртуальной машины, но если это так, вы можете просто восстановить из своего снимка.

Могут быть и другие методы ограничения разрушительной силы ненадежного программного обеспечения, но это самый надежный метод, который я могу себе представить.

Виртуализация на основе контейнеров (Docker / LXC)

Другой вариант может быть LXC Подробнее здесь

LXC - это пакет управления пользовательского пространства для контейнеров Linux - легкий механизм виртуальной системы, который иногда называют «chroot на стероидах».

LXC собирается из chroot для реализации законченных виртуальных систем, добавляя механизмы управления ресурсами и изоляции в существующую инфраструктуру управления процессами в Linux.

Это доступно в программном центре. Однако у меня нет опыта.

10
ответ дан 07.05.2020, 10:16
  • 1
    That' s просто неудобный. Создайте целую виртуальную машину только для выполнения игр!!? that' s не очень хорошее решение. Don' t Вы думают, устанавливая process' s GID и UID был бы ПУТЬ легче, чем это? – Martin Liversage 07.05.2020, 10:16
  • 2
    На самом деле я думаю, настраивая виртуальное поле, достаточно легко, который я, вероятно, не побеспокоил бы взятием снимка. Если это повреждает мою виртуальную машину, я могу отбросить его. – st0le 07.05.2020, 10:17
  • 3
    Необходимо, вероятно, определить " safe" поскольку значимый ответ, но политика Firefox по умолчанию в Ubuntu довольно разумен мне. Конечно, это повреждает вещь, поскольку не так удобно для пользователя как использование ничего, но it' s еще намного более удобный для пользователя, чем полная виртуальная машина мне (который также повреждает популярные функции Firefox). – steinar 07.05.2020, 10:17
  • 4
    Downvote: Фактическое неправильное обоснование, даже если решение является правильным. Программы don' t должен иметь те же полномочия как пользователь, выполняющий их. Linux и Ubuntu поддерживали MAC с лет. Ubuntu использует AppArmos для этого, и можно содержать программу к каталогу легко. – Binary Worrier 07.05.2020, 10:18
  • 5
    @JavierRivera " easily" не корректное слово, или профиль AppArmor и политика SELinux для Firefox были бы поставлены по умолчанию с каждым дистрибутивом и дело не в этом. Ubuntu поставляет такой профиль, но это не активно по умолчанию, поскольку это повреждает несколько " popular" функции Firefox. Существует not' t очень политики SELinux любой для большинства приложений для GUI, такие приложения требуют, чтобы слишком много полномочий были все еще названы поигравшими в песочнице. Если Вы не соглашаетесь, отправьте здесь ссылки для игры в песочнице Firefox безопасно с помощью или AppArmor или SELinux! Если Вы можете я быть действительно счастливым:-), – RoguePlanetoid 07.05.2020, 10:18

mbox

Mbox - это легкий механизм песочницы, который любой пользователь может использовать без особых привилегий в обычных операционных системах.

Я использовал его для нескольких вещей надежно.

9
ответ дан 07.05.2020, 10:17

subuser

Вы можете использовать subuser для песочницы ваших приложений с Docker. Это позволяет вам делать такие вещи, как приложения для песочницы с графическим интерфейсом, что непросто сделать напрямую с Docker.

sudo apt install subuser
4
ответ дан 07.05.2020, 10:17

Docker поможет вам настроить контейнеры, которые вы можете запускать из своего текущего ядра, но хранить вдали от остальной части вашей системы. Это кажется довольно современным, но в Ubuntu есть хорошая документация.

12
ответ дан 07.05.2020, 10:18
  • 1
    Я думаю, что это - хороший вариант для большинства случаев. Однако " untrusted" часть исходного вопроса, коснулся бы меня немного. Там продемонстрированы взломы, доступные, который может позволить приложение " break" из it' s контейнер. И, учитывая, что контейнеры докера, выполненные в корневом доступе, это могло быть опасно, если бы Ваша цель состояла в том, чтобы поиграть в песочнице приложения друг от друга. – James T 07.05.2020, 10:18
  • 2
    @CrisHoldorph исправляют, хотя Докер является улучшением, и я даже думаю, что в наше время возможно выполнить непривилегированного докера (не как корень). Это, конечно, верно теперь для LXC, и LXD (иногда так называемый демон LXC) может упростить значительно создание таких контейнеров. Таким образом, современные непривилегированные контейнеры можно рассмотреть как улучшение с точки зрения безопасности по chroot. Но они не непроницаемый барьер! – Community 07.05.2020, 10:18
  • 3
    Докер не является средствами обеспечения безопасности! – Adil B 07.05.2020, 10:19

Я думаю, возможное решение - создать отдельного пользователя для целей тестирования и ограничить его привилегии. Таким образом, вы не потеряете в производительности, что определенно произойдет в виртуальной машине, но я думаю, что это менее безопасно, если не настроено очень правильно, что я не могу посоветовать, как это сделать.

1
ответ дан 07.05.2020, 10:18
  • 1
    Этот doesn' t защищают систему от вредоносного программного обеспечения, которое может все еще быть установлено или работает - это также не играет в песочнице таким образом, который означает этот вопрос – kame 07.05.2020, 10:19

DoSH - Docker SHell

В случае, если вы просто хотите изолировать активность пользователей, вы можете использовать «DoSH»

DoSH ( что означает Docker SHell) - это разработка для создания контейнеров Docker, когда пользователи входят в систему Linux и запускают в них оболочку вместо простого создания оболочки.

1
ответ дан 07.05.2020, 10:19

Если они действительно не заслуживают доверия, и вы хотите быть уверены, вы должны установить отдельную коробку. Либо действительно, либо виртуально.

Кроме того, вы не хотите, чтобы этот ящик находился в той же сети, что и ваши важные вещи, если вы достаточно параноидальны. Во всех решениях вы бы создали отдельного пользователя без прав, чтобы не открывать слишком много инструментов для потенциального компромиссного решения.

  • Поэтому самым безопасным вариантом будет отдельное поле, физически удаленное из вашей сети.
  • Вы могли бы немного уступить, добавив его в физическую сеть, но в другой подсети: нет «реального» соединения внутри
  • Виртуальная машина была бы вариантом, но, возможно, придется отказаться от некоторых Производительность

Если вы собираетесь запустить его на одном и том же компьютере, у вас есть, например, эта опция

  • chroot. Это вариант по умолчанию для многих людей, и для неспецифических угроз это может даже сработать. Но это НЕ вариант безопасности, и его можно легко взломать. Я бы предложил использовать это по назначению, то есть не для безопасности.

В конце вам может понадобиться настроить конкретную модель песочницы без хлопот виртуализации или отдельных блоков, или ситуации все еще подверженной риску chroot. Я сомневаюсь, что это то, что вы имели в виду, но посмотрите на эту ссылку для получения более подробной информации.

26
ответ дан 07.05.2020, 10:20
  • 1
    Насколько безопасный это была бы безопасность, мудрая для выполнения ненадежного приложения на виртуальной машине? I' ve слышал о теоретическом использовании, которое может получить доступ к хостовой операционной системе через гипервизор и заразить его. – Manu Janardhanan 07.05.2020, 10:20
  • 2
    Это могло быть, хотя I' m в настоящее время не знающий о реальных угрозах как этот, конечно, не непредназначенные. Необходимо рассмотреть взломщика, пишущего, что вредоносное программное обеспечение в игре не перешло бы к тем длинам. Теперь нападение копья на Вас один сила, конечно, если они знают Ваше расположение, но тем не менее меня don' t думают that' s Ваше первое беспокойство. Если Вы - то, что бесспорный они являются злонамеренными, необходимо действительно настроить изолированное поле так или иначе, мудрая сеть. – joews 07.05.2020, 10:20

Теги

Похожие вопросы