D'abord et avant tout, s'il s'agit d'un binaire à très haut risque... vous devrez configurer une machine physique isolée, exécuter le binaire, puis détruire physiquement le disque dur, la carte mère et essentiellement tout le reste. Parce qu'à notre époque, même votre robot aspirateur peut propager des logiciels malveillants. Et que se passe-t-il si le programme a déjà infecté votre micro-onde via le haut-parleur du PC en utilisant la transmission de données à haute fréquence ? !
Mais enlevons ce chapeau en papier d'aluminium et revenons un peu à la réalité.
Pas de virtualisation, utilisation rapide : Firejail
Il est déjà empaqueté sur Ubuntu, il est très petit, n'a pratiquement aucune dépendance.
Comment installer sur Ubuntu :sudo apt-get install firejail
Site Web :https://firejail.wordpress.com/
Informations sur le paquet :
Package: firejail
Priority: optional
Section: universe/utils
Installed-Size: 457
Maintainer: Ubuntu Developers <[email protected]>
Original-Maintainer: Reiner Herrmann <[email protected]>
Architecture: amd64
Version: 0.9.38-1
Depends: libc6 (>= 2.15)
Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb
Size: 136284
MD5sum: 81a9a9ef0e094e818eb70152f267b0b6
SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16
SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194
Description-en: sandbox to restrict the application environment
Firejail is a SUID security sandbox program that reduces the risk of
security breaches by restricting the running environment of untrusted
applications using Linux namespaces and seccomp-bpf. It allows a
process and all its descendants to have their own private view of the
globally shared kernel resources, such as the network stack, process
table, mount table.
Description-md5: 001e4831e20916b1cb21d90a1306806f
Homepage: https://firejail.wordpress.com
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu
J'ai dû exécuter un binaire "non fiable" similaire il y a quelques jours à peine. Et ma recherche a conduit à ce petit programme très cool.
Virtualisation : KVM, boîte virtuelle.
C'est le pari le plus sûr. Selon le binaire. Mais bon, voir ci-dessus.
S'il a été envoyé par "Mr. Hacker" qui est un programmeur ceinture noire - chapeau noir, il y a une chance que le binaire puisse échapper à l'environnement virtualisé.
Binaire malveillant, méthode d'économie : Louez une machine ! Un virtuel. Exemples de fournisseurs de serveurs virtuels :Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr, Ramnode. Vous louez la machine, exécutez tout ce dont vous avez besoin, puis ils les essuieront. La plupart des grands fournisseurs facturent à l'heure, donc c'est vraiment pas cher.
Exécutez-le simplement sur une installation séparée - configurez une installation séparée sur un lecteur externe ou un autre disque dur, assurez-vous que les partitions de votre installation principale ne sont pas montés (ou mieux encore, déconnectez-les) et testez. Vous pouvez sauvegarder cette préinstallation au cas où vous en auriez besoin à nouveau, et la supprimer une fois que vous avez terminé.
C'est une méthode beaucoup plus robuste que le sandboxing/jailing, et vous pouvez en toute confiance traiter la deuxième installation comme jetable et/ou l'utiliser uniquement en cas de besoin.
À partir de la page de manuel Firejail :
Without any options, the sandbox consists of a filesystem build in a new mount namespace, and new PID and UTS namespaces. IPC, network and user namespaces can be added using the command line options. The default Firejail filesystem is based on the host filesystem with the main system directories mounted read-only. These directories are /etc, /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64. Only /home and /tmp are writable.
Il s'agit d'une description de haut niveau, il se passe d'autres choses, par exemple /boot est sur liste noire, ainsi que /sbin et /usr/sbin.
https://firejail.wordpress.com/features-3/man-firejail/
Vous pouvez également consulter ce document :https://firejail.wordpress.com/documentation-2/firefox-guide/ - ils ont une très bonne description du système de fichiers.