Comment exécuter en toute sécurité un fichier exécutable non approuvé sous Linux?

De nos jours, ce n'est pas une mauvaise idée de se méfier des fichiers exécutables non fiables, mais existe-t-il un moyen sûr de l'exécuter sur votre système Linux si vous en avez vraiment besoin? Le message de questions et réponses du superutilisateur d'aujourd'hui contient des conseils utiles en réponse à la requête d'un lecteur inquiet.

La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..

La question

Le lecteur de superutilisateur Emanuele veut savoir comment exécuter en toute sécurité un fichier exécutable non approuvé sur Linux:

J'ai téléchargé un fichier exécutable compilé par un tiers et je dois l'exécuter sur mon système (Ubuntu Linux 16.04, x64) avec un accès complet aux ressources matérielles telles que le processeur et le GPU (via les pilotes NVIDIA)..

Supposons que ce fichier exécutable contienne un virus ou une porte dérobée, comment dois-je l'exécuter? Dois-je créer un nouveau profil utilisateur, l'exécuter, puis le supprimer??

Comment exécuter en toute sécurité un fichier exécutable non approuvé sous Linux?

La réponse

Les contributeurs SuperUser, Shiki et Emanuele, ont la solution pour nous. Tout d'abord, Shiki:

Tout d’abord, s’il s’agit d’un fichier binaire à très haut risque, vous devez configurer une machine physique isolée, exécuter le fichier binaire, puis détruire physiquement le disque dur, la carte mère, et pratiquement tout le reste, car l'âge, même votre aspirateur robot peut propager des logiciels malveillants. Et si le programme infectait déjà votre micro-ondes via les haut-parleurs de l'ordinateur en utilisant la transmission de données haute fréquence?!

Mais enlevons ce chapeau en aluminium et revenons un peu à la réalité.

Pas de virtualisation - Rapide à utiliser

Firejail

J'ai dû exécuter un fichier binaire similaire non approuvé il y a quelques jours et ma recherche a abouti à ce petit programme très cool. Il est déjà packagé pour Ubuntu, très petit et n'a pratiquement aucune dépendance. Vous pouvez l'installer sur Ubuntu en utilisant: sudo apt-get install firejail

Informations sur le forfait:

La virtualisation

KVM ou Virtualbox

Ceci est le pari le plus sûr en fonction du binaire, mais bon, voir ci-dessus. Si cela a été envoyé par “M. Hacker ”qui est ceinture noire, programmeur de chapeau noir, il y a une chance que le binaire puisse échapper à un environnement virtualisé.

Malware Binary - Méthode d'économie de coûts

Louez une machine virtuelle! Par exemple, des fournisseurs de serveurs virtuels tels qu'Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr et Ramnode. Vous louez la machine, lancez ce dont vous avez besoin, puis ils vont l'effacer. La plupart des gros fournisseurs facturent à l'heure, ce n'est donc pas cher.

Suivi de la réponse d'Emanuele:

Un mot d'avertissement. Firejail est OK, mais il faut être extrêmement prudent en spécifiant toutes les options en termes de liste noire et liste blanche. Par défaut, il ne fait pas ce qui est cité dans cet article de Linux Magazine. L'auteur de Firejail a également laissé des commentaires sur des problèmes connus de Github..

Soyez extrêmement prudent lorsque vous l'utilisez, cela pourrait vous donner un faux sentiment de sécurité sans la bonnes options.

Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.

Crédit d'image: Clip Art Prison Cell (Clker.com)