স্যান্ডবক্স অ্যাপ্লিকেশন কিভাবে?

66

আমি ছোট অবিশ্বস্ত প্রোগ্রাম চালাতে চাই, তবে তাদের ফোল্ডারের বাইরে কোনও ফাইল অ্যাক্সেস করা, নেটওয়ার্ক অ্যাক্সেস এবং অন্য যেগুলির সত্যিকারের প্রয়োজন নেই সেগুলি সীমাবদ্ধ রাখি। এটি অর্জনের সহজ উপায় কী?

security 
মিশেল
সূত্র
আমি এটি কখনই ব্যবহার করি নি, তাই আমি সম্পূর্ণ উত্তর দিতে পারব না, তবে এএফএইইসি , অ্যাপআর্মার ( উইকি.বুন্টু / অ্যাপআর্মার ) এটি করতে সক্ষম হওয়া উচিত।
জাভিয়ের রিভেরা
ভার্চুয়ালবক্সের একটি মোড়ক ভ্যাগ্র্যান্ট দেখুন। vagrantup.com এবং ([উইকিপিডিয়ায়] en.wikipedia.org/wiki/Vagrant_(software%29) এবং GitHub উপর
জানুস Troelsen
@ জাভিয়েরিভেরা এফডাব্লুআইডাব্লু, সেলইনাক্সও। যদিও উবুন্টুতে চালানো কত সহজ হতে পারে তা ধারণা নেই।
টিসি 1
উবার্টুতে ইতিমধ্যে অ্যাফর্মার ডিফল্টরূপে ইনস্টল করা আছে, তাই এটি আরও সহজ হওয়া উচিত।
জাভিয়ের রিভেরা 15
1
দেখে মনে হচ্ছে এগুলি একাধিক সম্ভাবনা: ভার্চুয়ালাইজেশন ভার্চুয়ালবক্সের মতো (ভ্যাগ্রেন্টের মতো), ক্রুট, এলএক্সসি, অ্যাপ আর্মার এবং এসই লিনাক্স ব্যবহার করে।
ফ্লিম

উত্তর:

26

যদি সেগুলি সত্যই অবিশ্বস্ত হয় এবং আপনি নিশ্চিত হতে চান তবে আপনি একটি পৃথক বাক্স সেট আপ করবেন। হয় সত্যিই, বা কার্যত।

এছাড়াও, আপনি চান না যে বাক্সটি আপনার গুরুত্বপূর্ণ স্টাফগুলির মতো একই নেটওয়ার্কে থাকতে পারে, যদি আপনি পর্যাপ্তরকম হন। সমস্ত সমাধানে আপনি কোনও অধিকার ছাড়াই একটি পৃথক ব্যবহারকারী সেট আপ করতে চান, তাই আপসকারীকে খুব বেশি সরঞ্জাম খোলার দরকার নেই।

  • তাই সবচেয়ে নিরাপদ বিকল্পটি আপনার নেটওয়ার্ক থেকে শারীরিকভাবে মুছে ফেলা একটি পৃথক বাক্স হবে।
  • আপনি এটিকে শারীরিক নেটওয়ার্কে যুক্ত করে কিছুটা দিতে পারেন, তবে ভিন্ন একটি সাবনেটে: ভিতরে কোনও 'আসল' সংযোগ নেই
  • একটি ভার্চুয়াল মেশিন একটি বিকল্প হতে পারে, তবে কিছু কর্মক্ষমতা ছেড়ে দিতে হতে পারে

আপনি যদি এটি একই বাক্সে চালাতে বাধ্য হন তবে উদাহরণস্বরূপ, এই বিকল্পটি রয়েছে

  • chroot। এটি প্রচুর লোকের জন্য এটি করার জন্য একটি ডিফল্ট বিকল্প এবং অ-নির্দিষ্ট হুমকির জন্য এটি এমনকি কার্যকর হতে পারে। তবে এটি কোনও সুরক্ষা বিকল্প নয় এবং এটি সহজেই ভেঙে ফেলা যায়। আমি এটি উদ্দেশ্য হিসাবে ব্যবহার করার পরামর্শ দিই, না সুরক্ষার জন্য।

শেষ পর্যন্ত আপনাকে ভার্চুয়ালাইজেশন বা পৃথক বাক্সগুলির ঝামেলা ছাড়াই বা একটি ঝুঁকিপূর্ণ পরিস্থিতি ছাড়াই একটি নির্দিষ্ট স্যান্ডবক্সিং মডেল স্থাপন করতে হবে chroot। আমি সন্দেহ করি এটি আপনি কী বোঝাতে চেয়েছিলেন তবে আরও কিছু গভীর তথ্যের জন্য এই লিঙ্কটি দেখুন।

Nanne
সূত্র
ভার্চুয়াল মেশিনে একটি অবিশ্বস্ত অ্যাপ্লিকেশন চালানো সুরক্ষা বুদ্ধিমান কতটা নিরাপদ হবে? আমি তাত্ত্বিক শোষণের কথা শুনেছি যা হাইপারভাইজারের মাধ্যমে হোস্ট অপারেটিং সিস্টেম অ্যাক্সেস করতে এবং সংক্রামিত করতে পারে।
জিউলাউজ
এটি হতে পারে, যদিও আমি বর্তমানে এর মতো প্রকৃত হুমকির বিষয়ে অবগত নই, অবশ্যই লক্ষ্যহীন নয়। আপনার বিবেচনা করা উচিত যে কোনও আক্রমণে আক্রমণকারী কোনও ম্যালওয়্যার লেখার ক্ষেত্রে সেই দৈর্ঘ্যে যায় না। এখন কেবলমাত্র আপনার উপর বর্শা আক্রমণই যদি তারা আপনার লেআউটটি জানে তবে অবশ্যই তা আপনার প্রথম উদ্বেগ বলে মনে হয় না। আপনি যদি নিশ্চিত হন যে এগুলি দূষিত তবে আপনার অবশ্যই সত্যই কোনও বিচ্ছিন্ন বাক্স স্থাপন করা উচিত, নেটওয়ার্ক ভিত্তিতে।
Nanne
14

ফায়ারজেল মোটামুটি নতুন এবং ধ্রুবক বিকাশে। ব্যবহার করা সহজ.

আপনি কেবল:

sudo apt-get install firejail
firejail app
penguinforsupper
সূত্র
উবুন্টুকে জিজ্ঞাসা করুন স্বাগতম! যতক্ষণ এই তাত্ত্বিক প্রশ্নের উত্তর হতে পারে, এটা বাঞ্ছনীয় হবে উত্তর অপরিহার্য অংশের এখানে অন্তর্ভুক্ত করা, এবং রেফারেন্স এর জন্য লিঙ্ক প্রদান।
মার্ক কির্বি
12

ডকার আপনাকে এমন পাত্রে সেট আপ করতে সহায়তা করবে যা আপনি আপনার বর্তমান কার্নেল থেকে চালাতে পারেন, তবে আপনার সিস্টেমের বাকি অংশ থেকে দূরে রাখতে পারেন। এটি বেশ কাটা প্রান্ত বলে মনে হচ্ছে তবে একটি উবুন্টুতে একটি ভাল ডকুমেন্টেশন ফোকাস রয়েছে।

এন টমাস কোর
সূত্র
4
আমি মনে করি এটি বেশিরভাগ ক্ষেত্রেই একটি ভাল বিকল্প। তবে মূল প্রশ্নের "অবিশ্বস্ত" অংশটি আমাকে কিছুটা উদ্বেগ করবে। এমন প্রদর্শিত হ্যাক উপলব্ধ রয়েছে যা কোনও অ্যাপ্লিকেশনটিকে তার ধারকটি থেকে "ব্রেক" করতে দেয়। এবং প্রদত্ত যে ডকারের পাত্রে রুট অ্যাক্সেস চলছে, এটি বিপজ্জনক হতে পারে, যদি আপনার লক্ষ্য একে অপরের কাছ থেকে অ্যাপ্লিকেশনগুলি স্যান্ডবক্স করা হয়।
ক্রিস হোল্ডারফ
@ ক্রিসহোল্ডার্ফ সঠিক, যদিও ডকার আরও ভাল হচ্ছে এবং আমি এমনকি আজকাল ডক্কারকে অনিচ্ছিন্নভাবে চালানো সম্ভব বলে মনে করি (মূল হিসাবে নয়)। এটি অবশ্যই সত্য এখন এলএক্সসি এবং এলএক্সডি (কখনও কখনও তথাকথিত এলএক্সসি ডেমন) এই ধরণের পাত্রে তৈরি করা সহজতর করতে পারে। সুতরাং আধুনিক অনিবদ্ধ পাত্রে ক্রোটের চেয়ে সুরক্ষার ক্ষেত্রে উন্নতি হিসাবে বিবেচনা করা যেতে পারে। তবে এগুলি কোনও দুর্ভেদ্য বাধা নয়!
Huygens
ডকার কোনও সুরক্ষা সরঞ্জাম নয়!
ফেডেরিকো
10

সম্পূর্ণ ভার্চুয়ালাইজেশন / এমুলেশন (ভার্চুয়ালবক্স)

একটি সম্ভাব্য সমাধান হ'ল ভার্চুয়ালাইজেশন সফ্টওয়্যার যেমন ভার্চুয়ালবক্স যা আপনি সফ্টওয়্যার কেন্দ্রে খুঁজে পেতে পারেন।

  • ভার্চুয়াল বক্স ইনস্টল করুন
  • নেটওয়ার্কিং সক্ষম করে একটি ভার্চুয়াল মেশিন তৈরি করুন
  • উবুন্টু বা সম্ভবত একটি লাইটার ডেস্কটপ যেমন লুবুন্টু ইনস্টল করুন
  • ইনস্টল করা ওএস (ভার্চুয়াল বাক্সের ভিতরে) সম্পূর্ণ আপডেট করুন
  • ভার্চুয়াল মেশিনে নেটওয়ার্কিং অক্ষম করুন
  • একটি স্ন্যাপশট নিন

আপনি এখন যে সফ্টওয়্যারটি বিশ্বাস করেন না তা এটি কী করে তা ইনস্টল করতে পারেন। এটি বাইরের জগতকে বিচলিত করতে পারে না বা আপনি ওএসকে হোস্ট করেন কারণ এতে অ্যাক্সেস নেই।

এটি আপনার ভার্চুয়াল মেশিনটিকে ট্র্যাশ করতে পারে তবে এটি যদি তা করে তবে আপনি কেবল আপনার স্ন্যাপশট থেকে পুনরুদ্ধার করতে পারেন।

অবিশ্বস্ত সফ্টওয়্যারটির ধ্বংসাত্মক শক্তি সীমাবদ্ধ করার জন্য অন্যান্য পদ্ধতি থাকতে পারে তবে আমি এটি ভাবতে পারি সবচেয়ে শক্তিশালী পদ্ধতি।

ধারক-ভিত্তিক ভার্চুয়ালাইজেশন (ডকার / এলএক্সসি)

আরেকটি বিকল্প হতে পারে LXC আরও তথ্যের এখানে

এলএক্সসি হ'ল লিনাক্স কনটেইনারগুলির ইউজারস্পেস নিয়ন্ত্রণ প্যাকেজ, হালকা ওজনের ভার্চুয়াল সিস্টেম প্রক্রিয়া যা কখনও কখনও "স্টেরয়েডের ক্রোট" হিসাবে বর্ণনা করা হয়।

এলএক্সসি লিনাক্সের বিদ্যমান প্রক্রিয়া পরিচালন অবকাঠামোতে রিসোর্স ম্যানেজমেন্ট এবং বিচ্ছিন্নতা ব্যবস্থা যুক্ত করে সম্পূর্ণ ভার্চুয়াল সিস্টেমগুলি প্রয়োগ করতে ক্রুট থেকে তৈরি করে।

এটি সফ্টওয়্যার সেন্টারে উপলব্ধ। তবে এর সাথে আমার কোনও অভিজ্ঞতা নেই।

ওয়ারেন হিল
সূত্র
1
এটি কেবল অসুবিধেয়। শুধু গেমস চালানোর জন্য একটি সম্পূর্ণ ভার্চুয়াল মেশিন তৈরি করুন !! এটি খুব ভাল সমাধান নয়। আপনি সেটিং প্রক্রিয়া এর GID এবং ইউআইডি হবে মনে করি না উপায় এই তুলনায় অনেক সহজ?
জ্যাক মায়ারজ
আসলে আমি মনে করি ভার্চুয়াল বক্স সেট আপ করা যথেষ্ট সহজ যে আমি সম্ভবত একটি স্ন্যাপশট নেওয়ার সাথে বিরক্ত করব না। যদি এটি আমার ভার্চুয়াল মেশিনটিকে ট্র্যাশ করে তবে আমি এটি বাতিল করতে পারি।
এমুরি
ডাউনভোট: সমাধান দৃ rig় হলেও সত্য ঘটনাবলি ভুল যুক্তি। প্রোগ্রামগুলি ব্যবহারকারীরা যেভাবে চালাচ্ছে তার মতো বিশেষাধিকারের প্রয়োজন নেই। লিনাক্স এবং উবুন্টু বহু বছর ধরে ম্যাককে সমর্থন করে। উবুন্টু এটির জন্য AppArmos ব্যবহার করে এবং আপনি কোনও ডিরেক্টরিতে কোনও প্রোগ্রাম সহজেই ধারণ করতে পারেন।
জাভিয়ের রিভেরা 15
@ জাভিয়েরিভেরা "সহজেই" সঠিক শব্দ নয়, বা ফায়ারফক্সের জন্য একটি অ্যাপআর্মার প্রোফাইল এবং একটি সেলিনাক্স নীতিটি প্রতিটি ডিস্ট্রোতে ডিফল্টরূপে প্রেরণ করা হবে এবং এটি তেমন নয়। উবুন্টু এই জাতীয় প্রোফাইল বহন করে তবে এটি ডিফল্টরূপে সক্রিয় নয় কারণ এটি কয়েকটি "জনপ্রিয়" ফায়ারফক্সের বৈশিষ্ট্যগুলি ভেঙে দেয়। বেশিরভাগ জিইআইআই অ্যাপ্লিকেশনের জন্য খুব বেশি সেলইনাক্স নীতি নেই, এ জাতীয় অ্যাপ্লিকেশনগুলিকে এখনও স্যান্ডবক্সযুক্ত বলা অনেক বেশি অনুমতি প্রয়োজন। আপনি যদি অসম্মতি প্রকাশ করেন তবে দয়া করে অ্যাপআর্মার বা সেলইনাক্স ব্যবহার করে নিরাপদে স্যান্ডবক্স ফায়ারফক্সের লিঙ্কগুলি এখানে পোস্ট করুন! আপনি যদি পারেন তবে আমি সত্যিই খুশি হব :-)
হিউজেনস
অর্থপূর্ণ উত্তরের জন্য আপনার সম্ভবত "নিরাপদ" সংজ্ঞা দেওয়া উচিত তবে উবুন্টুতে ডিফল্ট ফায়ারফক্স নীতি আমার পক্ষে যথেষ্ট যুক্তিযুক্ত। অবশ্যই এটি কিছু না ভাঙার মতো ব্যবহারকারী-বান্ধব নয়, তবে এটি আমার কাছে সম্পূর্ণ ভার্চুয়াল মেশিনের চেয়ে অনেক বেশি ব্যবহারকারী-বান্ধব (এটি জনপ্রিয় ফায়ারফক্সের বৈশিষ্ট্যগুলিও ভেঙে দেয়)।
জাভিয়ার রিভেরা
9

MBOX

এমবক্স হ'ল একটি হালকা স্যান্ডবক্সিং প্রক্রিয়া যা কোনও ব্যবহারকারী পণ্য অপারেটিং সিস্টেমগুলিতে বিশেষ সুবিধা ছাড়াই ব্যবহার করতে পারেন।

আমি এটি নির্ভরযোগ্যভাবে কয়েকটি জিনিসের জন্য ব্যবহার করেছি।

0x78
সূত্র
4

subuser

আপনি ডকারের সাথে আপনার অ্যাপ্লিকেশনগুলি স্যান্ডবক্সে সাবউজার ব্যবহার করতে পারেন। এটি আপনাকে স্যান্ডবক্স জিইউআই অ্যাপ্লিকেশনগুলির মতো কাজ করতে দেয়, যা ডকারের সাথে সরাসরি করা সহজ নয়।

sudo apt install subuser
timthelion
সূত্র
1

আমি মনে করি, সম্ভাব্য সমাধান হ'ল পরীক্ষার উদ্দেশ্যে পৃথক ব্যবহারকারী তৈরি করা এবং তার সুযোগসীমা সীমাবদ্ধ করা। এইভাবে আপনি কর্মক্ষমতা হারাবেন না, ভার্চুয়াল মেশিনে স্পষ্টত কী ঘটবে, তবে আমি মনে করি এটি খুব কম নিরাপদ, যদি খুব ভালভাবে সেট আপ না করা হয়, তবে আমি কীভাবে পরামর্শ দিতে পারি না can't

Phlya
সূত্র
2
এটি সিস্টেমটিকে দূষিত সফ্টওয়্যার থেকে রক্ষা করে না যা এখনও ইনস্টল হয়ে যায় বা চালিত হতে পারে - এটি এই প্রশ্নের যেভাবে বোঝায় সেভাবে এটি স্যান্ডবক্সিং নয়
থমাস ওয়ার্ড
1

ডসএইচ - ডকার শেল

আপনি যদি কেবল ব্যবহারকারীদের ক্রিয়াকলাপটি স্যান্ডবক্স করতে চান তবে আপনি "DoSH" ব্যবহার করতে পারেন

ব্যবহারকারীরা লিনাক্স সিস্টেমে লগইন করে তাদের মধ্যে শেলটি চালানোর পরিবর্তে ডোকার কনটেইনার তৈরির জন্য ডওএসএইচ (যা ডকার শেলকে বোঝায়) একটি বিকাশ symp

ubuser
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.