¿Cuál es la forma más fácil de aislar una aplicación en un entorno * NIX?

1

Tengo un número significativo de aplicaciones binarias que no son de confianza que deben ejecutarse en un cuadro * nix.

Espero que pueda haber algún comando / script simple (por ejemplo, sandbox ./app1953 ) que pueda usarse fácilmente para aislar a una sola aplicación de la posibilidad de dañar o acceder al resto del sistema (solo necesito acceso a stdin / stdout).

Preferiría no utilizar máquinas virtuales en toda regla, ya que la sobrecarga resultante de la ejecución de miles de copias de un sistema operativo es considerablemente mayor de lo que me gustaría tener en cuenta.

    
pregunta Stack Tracer 03.05.2018 - 02:53
fuente

1 respuesta

1

No hay una utilidad segura y fácil de usar en la línea de comandos de sandbox. Los servicios públicos populares, como Firejail, a menudo pueden ser una cura peor que la enfermedad, y se han encontrado muchos desvíos de la zona de pruebas y vulnerabilidades de escalamiento de privilegios (y continúe encontrándose) en él. Por lo general, el uso de una aplicación de sandbox requiere el uso de controles de acceso obligatorios, como el popular AppArmor o SELinux framework. En general, esto implicará políticas de seguridad personalizadas, adaptadas a la aplicación específica.

Escribí mucho sobre el sandboxing de Linux en otra respuesta .

    
respondido por el forest 03.05.2018 - 03:00
fuente

Lea otras preguntas en las etiquetas