Как запустить файл в песочнице?

ну.... а что будет после запуска? ппц всему? а то виртуалку запусти или с флешки подгрузись и пускай сколько влезет

ппц всему?

Заранее неизвестно. Для начала хочу его научить гвоорить «Привет мир»

Можно посмотреть в сторону seccomp - он практически для такой изоляции сделан.

Спасибо, посмотрю в эту сторону

SELinux. Also, https://www.coker.com.au/selinux/play.html

Так ты сделай, чтобы из системных вызовов случайно могло сгенерироваться только обращение к stdout. Или ты собрался забить память рандомом и посмотреть что будет? Можешь не беспокоится, вероятность того что программа упадёт, не сделав ничего осмысленного, настолько велика, что остальные варианты можно даже не рассматривать.

Просто от отдельного юзера запустить. А если пофантазировать, что программой может найтись дыра в ядре (и, если на то пошло, не одна: повышение привелегий, слом selinux и так далее), то не поможет вообще ничего (только отдельная машина для опытов).

lxc?

+1 если совсем страшно то добавить chroot

Я не понимаю вообще почему такой вопрос возникает во времена докер. Если боишься, что оно дырку в ядре ВНЕЗАПНО найдет и покрэшит его - запускай в виртуалке. Если нет - запускай в докере и все. Благо запуск отдельной бубунты на докере - дело двух команд нынче.

Виртуалку можно легко пробить, если о ней знать. Это не панацея.

Можно еще на эмуляторе железа попробовать тогда =). Правда ворочаться будет еле-еле

Есть извращенские виртуалки типа Bochs, которые принципиально не используют аппаратную виртуализацию или трансляцию кода, а тупо интерпретируют инструкции. Так что даже дырка в процессоре или ядерном модуле не поможет из них выбраться. Но производительность никакая, да.

Если боишься, что оно дырку в ядре ВНЕЗАПНО найдет и покрэшит его

Я боюсь даже rm -rf от user

rm -rf в докере не страшен - только сам образ покрошит да и то это потом откатить можно.