Re: Как безопасно запустить недовереное приложение?
On 2015-12-22, Victor Wagner wrote:
> Лично я для запуска skype сейчас пользуюсь schroot. Причем думаю что
> s там на самом деле лишний. Просто schroot настолько сильно упрощает
> настройку chroot-окружения, что сначала сделал через него, и
> переделывать уже лень.
Для schroot нужно подготавливать окружение?
Я знаком с таким:
$ sudo debootstrap --include=iceweasel stable /path/to/chroot-deb-stable/
В /etc/schroot/schroot.conf вижу записи, на подобии:
directory=/srv/chroot/sid
За меня будет создано рабочее окружение?
Если есть необходимость развернуть другой дистрибутив - такому есть поддержка?
Что бы не углубляться в особенности дистрибутива, какими командами
развертывать... Интересуют только менйстримные дистрибутивы конешно.
> chroot имеет то преимущество что UID внутри и UID снаружи могут
> совпадать, а файловая система, которую видит приложение, является
> частью файловой системы хоста, поэтому мне снаружи удобно подкладывать
> приложению файлики, которые оно должно обработать и забирать оттуда
> результаты.
Ага, ради этого удобство доступа к файлам - задал вопрос.
man schroot как раз описывает мои задачи:
* Running an untrusted program in a sandbox, so that it can't interfere with
files on the host system; this may also be used to limit the damage a
compromised service can inflict upon the host
* Using a defined or clean environment, to guarantee the reproducibility and
integrity of a given task
* Using different versions of an operating system, or even different
operating systems altogether, e.g. different GNU/Linux distributions
>> Я понимаю идею запуситить от ограниченого пользователя. Можно ли
>> расчитывать что программа не сможет поднять привелений? Как я узнаю
>> что программа не пытается перебрать пароли для su/sudo? Как
>> настраивать что бы не сделать глупость?
>
> Вот от этого chroot замечательно спасает. Внутри chroot у программы
> просто не будет sudo, а то и su, чтобы подбирать парали, да и наличие
> у нее рута еще не факт что позволит вылезти наружу.
Тут нужно быть осторожным?
Я использую рецепт с монтированием /sys, /proc, /dev в иерархии chroot при
восстановлении grub. Т.е. по неосторожности можно нанести вред основной
системе.
Т.е снова вопрос в инструменте для создания окружения.
Еще вопрос - если создавать окружение - то за это расплачиваешся пространством
в хранилище?
Для недоверенных програм типа проприетарных skype, dropbox - можно ведь одним
окружением ограничится?
--
Best regards!
Reply to: