fortalecimiento de la seguridad de Python

3

Estoy trabajando para una organización grande que usa algunos productos de Windows que requieren Python para funcionar.

Python se utiliza para ejecutar scripts de utilidad incorporados y el usuario nunca reconoce que Python está involucrado. Dado que los requisitos de seguridad del sistema son bastante estrictos, estamos tratando de bloquear Python tanto como sea posible. Normalmente no permitimos que los usuarios normales utilicen compiladores o intérpretes, ya que no está permitido agregar aplicaciones o funcionalidad al sistema. Así que estamos buscando sugerencias sobre cómo restringir python para que solo se puedan ejecutar algunos scripts mientras el indicador / intérprete interactivo no esté disponible.

¿Es eso posible?

Nuestro primer enfoque consistió en restringir Python con políticas de grupo, pero no es fácil hacerlo ya que Python no es "consciente de GPO". El uso de políticas de restricción de software es básicamente un bloque de Python para todos o permitir Python para todos.

Dado que los scripts de Python se ejecutan a través del intérprete (python.exe), la configuración de restricción del software GPO para las ubicaciones ejecutables solo comprueba python.exe y no la ubicación del script en sí (el sistema GPO solo ve el script de python como un argumento genérico al ejecutable python.exe).

Entonces, mi pregunta es: ¿si alguien tiene alguna experiencia en reforzar la seguridad con respecto a python? Una vez más, nuestro objetivo es que solo se puedan ejecutar algunos scripts mientras el indicador / intérprete interactivo no esté disponible. ¿Es eso posible?

    
pregunta andpou 08.01.2015 - 10:17
fuente

2 respuestas

2

Puedes convertir tus scripts de python en ejecutables de Windows usando py2exe . De esa manera, se trataría de la misma manera que restringe otros binarios del sistema. Tenga en cuenta que es posible realizar ingeniería inversa "sin compilar", mostrando las funciones del script y todo. Pero como su pregunta es solo acerca de la ejecución de la autorización de ejecución, creo que cumplirá con su necesidad.

    
respondido por el DarkLighting 08.01.2015 - 15:49
fuente
1

¿Qué te parece el uso de PyPy con su modo de sandboxing?

Me temo que no soy tan familiar, así que no estoy seguro de que sea completamente seguro, pero sin duda merece la pena echarle un vistazo.

Por lo que puedo ver, sus únicas opciones son:

  • Sandboxing PyPy
  • Un compilador ejecutable de Python
  • Proporcionar a los usuarios una máquina virtual que permita Python
  • Usar una solución de espacio aislado para PC para aislar Python y el sistema de archivos.
respondido por el Julian Knight 13.01.2015 - 14:45
fuente

Lea otras preguntas en las etiquetas