Ich habe PlayOnLinux
Windows-Programme unter Linux ausgeführt.
PlayOnLinux
Erstellt für jedes installierte Programm ein virtuelles Laufwerk und jeder VD repräsentiert einen anderen Windows XP-Computer.
Alle vom Programm vorgenommenen Änderungen bleiben nur innerhalb des eigenen VD. Wenn ich also ein Programm mit einem Virus ausführe, kann ich einfach den VD des Programms löschen und alles ist in Ordnung.
Gibt es ein ähnliches Programm, mit dem Linux-Programme auf einem virtuellen Laufwerk ausgeführt werden können? dh ich möchte PlayOnLinux
/ Wine
minus die Windows-Emulation.
Antworten:
Ich möchte Firejail, Sandboxie-ähnliche Software für Linux, einschließlich GUI, teilen.
Schauen Sie hier: https://firejail.wordpress.com/ und laden Sie es von https://sourceforge.net/projects/firejail/ oder https://pkgs.org/debian-sid/debian-main-amd64/firejail_0 herunter .9.38-1_amd64.deb.html (Änderung an Ihrem System)
Einfach zu verwenden; Führen Sie in diesem Fall einfach Firejail über Ihrem Befehl / Ihrer Software aus
firejail wine program.exe
Wenn Sie diese Programme überprüfen möchten, bevor Sie sie
firejail wine winedbg --gdb program.exe
ausführen , können Sie sie alle miteinander verketten , um den inhaftierten Wein-Debugger auszuführen.Vielleicht denkst du darüber nach, wie viel gut es sein kann. Sehen Sie sich an, wie eine WordPress-Installation mit Brandschutz vollständig ausgeführt wird, beispielsweise als Beispiel für ein komplexes Sandboxing. https://www.digitalocean.com/community/tutorials/how-to-use-firejail-to-set-up-a-wordpress-installation-in-a-jailed-environment
Vertraue niemals einem Stück binären Blobs (exe).
quelle
Ich kann Ihnen keine vollständige Antwort geben, da ich es nicht weiß, aber ich weiß, dass der Befehl chroot für ähnliche, wenn nicht genau den gleichen Zweck ausgelegt ist.
quelle
chroot
ist für die grundlegende Sicherheit in Ordnung, aber Sie sollten wissen, dass es Möglichkeiten gibt, aus einerchroot
Umgebung auszubrechen .systemd-nspawn
oderdocker
dies kann wirklich sehr einfach erreicht werden. Nichtchroot
basierend, sondern basierend auf LXC, das sogar etwas sicherer als eine einfache Chroot ist und eine bessere Isolierung vom Host bietet.Mit dem Kernel-Patch für Linux-Vserver und dem zugehörigen Benutzerbereich (siehe http://linux-vserver.org/ ) können Sie Programme in eigenen isolierten Containern ausführen, ohne das Gastbetriebssystem vollständig virtualisieren zu müssen.
Linux-Vserver-Container haben einen eigenen Mount-Namespace, einen eigenen Netzwerk-Namespace, einen eigenen Sicherheitskontext usw.
Beachten Sie jedoch, dass Linux-Vserver hauptsächlich zum Ausführen von Servern entwickelt wurde. Während Sie Desktop-Anwendungen in einem Linux-Vserver-Container ausführen können, müssen Sie wissen, was Sie tun.
Ein anderer Ansatz wäre, AppArmor zu verwenden, um einzuschränken, was Ihr Programm tun darf.
quelle