Como proteger os aplicativos?

Se eles são realmente não confiáveis, e você quer ter certeza, você configuraria uma caixa separada. Realmente ou virtualmente.

Além disso, você não quer que a caixa esteja na mesma rede que suas coisas importantes, se você for paranóico o suficiente. Em todas as soluções, você configuraria um usuário separado sem direitos, para não abrir muitas ferramentas para o possível comprometedor.

• Assim, a opção mais segura seria uma caixa separada removida fisicamente de sua rede.
• Você poderia ceder um pouco adicionando-o à rede física, mas em uma sub-rede diferente: nenhuma conexão 'real' dentro
• Uma máquina virtual seria uma opção, mas talvez tenha que desistir de algum desempenho

Se você está obrigado a executá-lo na mesma caixa, você tem, por exemplo, essa opção

• chroot. Esta é uma opção padrão para fazer isso para muitas pessoas e, para ameaças não específicas, pode até funcionar. Mas NÃO é uma opção de segurança e pode ser desmembrada facilmente. Eu sugiro usar isso como pretendido, ou seja, não por segurança.

No final, você pode precisar configurar um modelo específico de sandboxing sem o incômodo da virtualização ou caixas separadas, ou a situação ainda em risco do chroot. Eu duvido que isso é o que você quis dizer, mas olhe este link para mais algumas informações detalhadas:

O Docker ajudará você a configurar contêineres que podem ser executados fora de seu kernel atual, ainda que contidos longe do resto de seu sistema. Parece muito inovador, mas há uma boa documentação no Ubuntu.

link

Uma solução possível é o software de virtualização, como o Virtual box, que você pode encontrar no centro de software.

• Instalar caixa virtual
• Crie uma máquina virtual com a rede ativada
• Instale o Ubuntu ou talvez um desktop mais leve, como o Lubuntu
• Atualize completamente o sistema operacional instalado (dentro da caixa Virtual)
• Desativar o funcionamento em rede na máquina virtual
• Tire uma foto instantânea

Agora você pode instalar o software em que não confia para ver o que ele faz. Não pode perturbar o mundo exterior ou você hospeda o sistema operacional, pois ele não tem acesso.

Pode ser que a sua máquina virtual esteja no lixo, mas se isso acontecer você pode simplesmente restaurar a partir do seu instantâneo.

Pode haver outros métodos para limitar o poder destrutivo de softwares não confiáveis, mas esse é o método mais robusto em que consigo pensar.

Outra opção pode ser LXC mais informações aqui

O LXC é o pacote de controle do espaço do usuário para o Linux Containers, um mecanismo de sistema virtual leve, às vezes descrito como "chroot on steroids".

O LXC é desenvolvido a partir do chroot para implementar sistemas virtuais completos, adicionando mecanismos de gerenciamento de recursos e isolamento à infraestrutura existente de gerenciamento de processos do Linux.

Está disponível no centro de software. Eu não tenho experiência com isso.

Firejail é relativamente novo e está em constante desenvolvimento. Fácil de usar.

Você pode simplesmente:

sudo apt-get install firejail
firejail app

mbox

"O Mbox é um mecanismo de sandboxing leve que qualquer usuário pode usar sem privilégios especiais em sistemas operacionais de commodity." link

- link

Eu usei isso para algumas coisas de forma confiável.

Você pode usar o subutilizador para proteger seus aplicativos com o Docker. Isso permite que você faça coisas como aplicativos GUI do sandbox, o que não é fácil de fazer diretamente com o Docker.

Acho que uma possível solução é criar um usuário separado para fins de teste e limitar seus privilégios. Dessa forma, você não perderá desempenho, o que definitivamente acontecerá na máquina virtual, mas acho que isso é menos seguro, se não for configurado de maneira adequada, o que não posso aconselhar sobre como fazer.

Caso você deseje simplesmente proteger a atividade dos usuários, você pode usar o " link" dosh