LINUX.ORG.RU

Существует ли возможность безопасно запускать подозрительные бинарники в wine?

 , ,


0

1

Случайно наткнулся на игру Stalcraft, решил попробовать. Скачал отсюда. Хотел запустить в wine, но перед этим залил на virustotal - 1 детект и в droped files есть файлы с несколькими детектами.

Погуглил нашёл только бредовое видео какого-то даунёнка и бесполезный вопрос с бесполезными ответами на ответах маилсру.

Доверие к этой игре резко упало(не знаю ложные детекты или нет), но запустить её всё равно хочется. Как, не используя виртуальную машину, максимально безопасно запустить эту игру в wine?

SELinux, AppArmor, firejail(?).

А вообще, вопрос из разряда «Как засунуть яйца в мясорубку чтобы их не порубило?»

mord0d ★★★★★
()

Если не считать всякие там спектромелтдауны то тебе достаточно сделать чтобы оно не могло сделать что-то нехорошее через сисколы

mittorn ★★★★★
()

Выкинуть эту дрянь. Я про игру.

fernandos ★★★
()

firejail, потом заменить ~/.wine

praseodim ★★★★★
()

Да, можно под отдельным пользователем запускать. Также можно использовать bubblewrap или firejail. Я все виндовые программы/игры запускаю в изолированном окружении через bubblewrap.

Kron4ek ★★★★★
()
Последнее исправление: Kron4ek (всего исправлений: 2)
Ответ на: комментарий от hobbit

Стрелялка с графикой из Майнкрафта? :)

Зато хорошую видеокарту для такого не надо, встройки достаточно.

Жаль что точно такой же игры не сделали на базе minetest.

Fedoras
() автор топика
Ответ на: комментарий от mord0d

firejail

Как в firejail указывать wineprefix?

Без firejail я делал так:

WINEPREFIX=~/stalcraft ~/.PlayOnLinux/wine/linux-amd64/5.20/bin/wine64 winecfg

А с firejail получается так:

firejail WINEPREFIX=~/stalcraft MESA_GL_VERSION_OVERRIDE=4.5 .PlayOnLinux/wine/linux-amd64/5.20/bin/wine64 winecfg
Reading profile /etc/firejail/default.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-passwdmgr.inc
Reading profile /etc/firejail/disable-programs.inc

** Note: you can use --noprofile to disable default.profile **

Parent pid 10704, child pid 10705
Warning: /sbin directory link was not blacklisted
Warning: /usr/sbin directory link was not blacklisted
Warning: cleaning all supplementary groups
Child process initialized in 51.22 ms
/bin/bash: строка 1: WINEPREFIX=~/stalcraft: Нет такого файла или каталога

Fedoras
() автор топика
Ответ на: комментарий от Fedoras
WINEPREFIX=~/stalcraft MESA_GL_VERSION_OVERRIDE=4.5 firejail ".PlayOnLinux/wine/linux-amd64/5.20/bin/wine64" winecfg
Kron4ek ★★★★★
()
Последнее исправление: Kron4ek (всего исправлений: 1)
Ответ на: комментарий от Fedoras

Как в firejail указывать wineprefix?

Зачем firejail вообще знать о существовании такой сущности как wineprefix?

Учись работать с переменными окружения (подсказка в этом комментарии).

mord0d ★★★★★
()

а есть ли смысл в создании искусственных изолированных сред?

защита рабочей среды от исполнения вредоносного кода в первую очередь обеспечивается гигиеной, а не конфигурацией системы: доверенные источники и ключи обеспечивают попадание чистых файлов в систему. «песочница» не нужна.

если же заранее известно, что будет исполняться вредоносный код и к тому же допускается возможность наличия непредсказуемого результата, - то почему для этого не использовать отдельную систему (на отдельной машине или хотя бы отдельном диске), которую потом удалить.

P.S.: зачем вообще связываться с сомнительными файлами. ваше приложение существует в чистом виде - возьмите его от туда.

anonymous
()
Ответ на: комментарий от anonymous

защита рабочей среды от исполнения вредоносного кода в первую очередь обеспечивается гигиеной, а не конфигурацией системы: доверенные источники и ключи обеспечивают попадание чистых файлов в систему. «песочница» не нужна.

Потому что не у всех есть возможность использовать только 100% доверенные источники. К тому же даже у программ из доверенных источников потенциально могут быть критические баги, которые могут, например, похернить файлы пользователя (привет, Steam) - изоляция и от этого спасает.

если же заранее известно, что будет исполняться вредоносный код и к тому же допускается возможность наличия непредсказуемого результата, - то почему для этого не использовать отдельную систему (на отдельной машине или хотя бы отдельном диске), которую потом удалить.

Допустим мне вот нужно быстренько запустить какую-нибуль левую софтину, и что мне проще: переключаться на отдельную машину (которой может и не быть) или одной командой изолировать программу? Даже если удаленно запускать софтину на другой машине (через ssh, например), все равно для этого нужно эту самую машину иметь для начала. Но если кому удобнее отдельные машины для этого использовать, то пожалуйста.

Kron4ek ★★★★★
()
Ответ на: комментарий от mord0d

Очень просто, для этого нужен отдельный baremetal компик с системным разделом ZFS желательно по сети по iSCSI, только и всего :)

anonymous
()
Ответ на: комментарий от teod0r

Ну, если ты просто зарежешь все сисколы то тоже будет плохо, wine как минимум не сможет работать. Нужен или обработчик или какие-то хитрые правила. Скорее всего белый список и проверка параметров

mittorn ★★★★★
()
Ответ на: комментарий от mittorn

и с помощью чего это можно реализовать?

teod0r ★★★★★
()

ничего страшного - запускай смело, запущеное в вине не сможет нанести вреда линуксу

anonymous
()
Ответ на: комментарий от anonymous

только если запускать от другого ограниченного пользователя

teod0r ★★★★★
()
Ответ на: комментарий от t184256

https://steamcommunity.com/app/221410/discussions/0/1638675549018366706/

это только для нативных игорей, по принципу Flatpak имеет свой рантайм не зависящий от системы. И по идее работает на любой системе где можно запустить Steam от федоры до арча. Вот только вроде оно не работает для Proton, не уверен.

bhfq ★★★★★
()
Последнее исправление: bhfq (всего исправлений: 1)
Ответ на: комментарий от anonymous

только если программа не понимает что она запущена в wine, потому что ROOT / монтируется на Z:\ по дефолту.

bhfq ★★★★★
()
Ответ на: комментарий от bhfq

Контейнеры годня только для изоляции импотентных гадящих в / пакетных менеджеров друг от друга.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от bhfq

У меня не работает по крайней мере без пересборки ядра

mittorn ★★★★★
()
Ответ на: комментарий от anonymous

Очень просто, для этого нужен отдельный baremetal компик с системным разделом ZFS желательно по сети по iSCSI, только и всего :)

IMHO мудрое решение, потому что на Авито отдельный компик стоит сущие копейки в пределах нескольких тыр,

А потеря личных ценных данных, я думаю стоит в тысячи и миллионы раз дороже, данные бесценны, арифметика очень простая.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.