Qual è il modo più semplice per sandbox un'applicazione in un ambiente * NIX?

1

Ho un numero significativo di applicazioni binarie non affidabili che devono essere eseguite su una casella * nix.

Spero che possa esserci qualche semplice comando / script (ad esempio sandbox ./app1953 ) che potrebbe essere facilmente utilizzato per isolare una singola applicazione dall'essere in grado di danneggiare o accedere al resto del sistema (ho solo bisogno di accedere a stdin / stdout).

Preferisco non utilizzare macchine virtuali in piena regola, poiché il sovraccarico derivante dall'esecuzione di migliaia di copie di un sistema operativo è considerevolmente maggiore di quanto mi piacerebbe prendere in considerazione.

    
posta Stack Tracer 03.05.2018 - 02:53
fonte

1 risposta

1

Non esiste un'utilità sandbox da riga di comando sicura e di facile utilizzo. Utilità popolari come Firejail possono spesso essere una cura peggiore della malattia e sono state trovate molte vulnerabilità di sandbox bypass e vulnerabilità di escalation dei privilegi (e continua a essere trovato) in esso. Il sandbox di un'applicazione richiede in genere l'utilizzo di controlli di accesso obbligatori, come il popolare AppArmor o SELinux framework. Ciò comporta generalmente politiche di sicurezza personalizzate, adattate all'applicazione specifica.

Ho scritto molto sulla sandboxing Linux in un'altra risposta .

    
risposta data 03.05.2018 - 03:00
fonte

Leggi altre domande sui tag