Zaktualizowano (4-04-2018, 22:29): test zatrzymany
Test zatrzymany.
Funkcje trybu PUBG:
Teraz możesz sam to przetestować! Pobierz test piasku.
Jeśli brałeś udział w pierwszej iteracji Piaskownicy, nie musisz tworzyć nowego hasła. Po prostu pobierz klienta Sandbox i zaloguj się za pomocą swojego hasła do pierwszej iteracji Sandbox.
W ostatnim czasie cyberprzestępcy stali się tak pomysłowi, że doniesienia o epidemiach wirusów nie są zaskakujące i ogólnie stały się powszechne. Jednak zobaczenie wiadomości o dystrybucji nowego trojana w 3DNews to jedno, ale znalezienie tego samego trojana na twoim komputerze to zupełnie co innego. W Internecie można znaleźć wiele porad, jak nie paść ofiarą oszustów: od korzystania z nowoczesnych wersji oprogramowania, które zakrywają wszystkie znane luki, po posiadanie niezawodnego komputera na swoim komputerze. nowoczesne rozwiązanie dla ochrony.
Jednak w niektórych przypadkach nawet najbardziej niezawodna zapora ogniowa i najbardziej przyciągający wzrok program antywirusowy nie uchronią użytkownika przed infekcją. Dzieje się tak, gdy program ochrony komputera nie ma pewności co do złośliwego działania uruchamianej aplikacji lub skryptu wykonywanego na stronie internetowej i dlatego pozostawia decyzję o zezwoleniu na działanie użytkownikowi. Możesz zdecydować, że program antywirusowy jest niepotrzebnie podejrzany, lub po prostu kliknąć przycisk „OK” myszą, umożliwiając w ten sposób wykonanie złośliwego kodu.
Co robić? Czy naprawdę lepiej nie uruchamiać nowych aplikacji ze względu na możliwość złapania trojana, ale całkowicie zrezygnować z surfowania po sieci? Istnieje świetne rozwiązanie, które dla wielu może być świetnym dodatkiem do wszelkich środków ochrony komputera przed szkodnikami. To jest o o pracy z aplikacjami w piaskownicy.
Piaskownica to środowisko piaskownicy, które zajmuje niewiele miejsca na dysku twardym i jest niezależne od rzeczywistego systemu operacyjnego. Gdy uruchamiasz program w piaskownicy, działa on jak normalna aplikacja, ale nie może wpływać na żadne komponenty systemu, które znajdują się poza piaskownicą. Oznacza to, że nie ma możliwości wprowadzania zmian w piaskownicy. rejestr systemowy, zastępować pliki systemowe ani wykonywać żadnych innych czynności, które mogą mieć wpływ na stabilność systemu. Dzięki temu piaskownica może służyć do bezpiecznego surfowania po Internecie oraz do biegania nieznane aplikacje. Istnieją inne zastosowania takiego izolowanego środowiska, na przykład programiści i testerzy mogą uruchamiać w nim niestabilne wersje programów.
O tym, że praca z aplikacjami w „piaskownicy” może być przydatna jak najszerszemu gronu użytkowników świadczy fakt, że odpowiednia możliwość pojawiła się w programie w zeszłym roku Kaspersky Internet bezpieczeństwo. Użytkownicy tego pakietu zabezpieczeń mogą pracować z podejrzanymi aplikacjami w odizolowanym środowisku, jeśli otworzą je za pomocą elementu menu kontekstowego. menu okien„Biegaj w bezpiecznym środowisku”. Dla przejrzystości okno programu uruchomionego w odizolowanym środowisku będzie otoczone zieloną ramką.
Kaspersky ochrona Internetu pozwala również na sporządzenie listy programów, które mogą być potencjalnie niebezpieczne (możesz zawrzeć w niej np. przeglądarkę). W tym celu otwórz sekcję „Kontrola aplikacji” w ustawieniach aplikacji i użyj przycisku „Dodaj”, aby dodać aplikację do listy. Jeśli następnie otworzysz aplikację z okna Kaspersky Internet Security, będzie ona działać w odizolowanym środowisku. Wygodne jest użycie takiej funkcji, powiedzmy, jeśli podczas sesji w przeglądarce planujesz odwiedzić strony, które mogą zawierać podejrzany kod. Dodatkowo taka funkcja może być dobrym zamiennikiem trybu prywatności, który pojawił się w najnowszych wersjach popularnych przeglądarek.
Warto jednak zauważyć, że Kaspersky Internet Security zapewnia tylko najbardziej podstawowe opcje uruchamiania aplikacji w „piaskownicy”. Aplikacje specjalistyczne mają znacznie więcej możliwości. Przyjrzyjmy się niektórym popularnym programom zaprojektowanym do pracy w odizolowanym środowisku.
Sandboxie to bez wątpienia najbardziej znane rozwiązanie do piaskownicy. Program wykorzystuje klasyczną metodę ochrony - określona przez użytkownika aplikacja zostaje umieszczona w odizolowanym środowisku, w wyniku czego nie może wpływać na działanie systemu. Co ciekawe, Sandboxie został zaprojektowany do współpracy z przeglądarką Internet Explorer, która jest jednym z najpopularniejszych celów cyberprzestępców. Jednak obecnie Sandboxie może współpracować z prawie każdą aplikacją Windows.
Jedną z cech Sandboxie, która wyróżnia go spośród wielu innych tego typu programów, jest możliwość tworzenia nieograniczonej liczby „piaskownic”. W takim przypadku użytkownik może sporządzić listę aplikacji, które będą działać w każdym z nich. Domyślnie sam program tworzy „piaskownicę” o nazwie DefaultBox, dzięki czemu można rozpocząć pracę z Sandboxie od razu po instalacji. Aby otworzyć program lub dokument w środowisku piaskownicy, wybierz polecenie „Uruchom w piaskownicy”, które pojawia się w menu kontekstowe Okna.
Jeśli w przyszłości utworzysz dodatkowe przestrzenie prywatne, możesz poprosić program, aby otwierał pliki i aplikacje w innej przestrzeni prywatnej zamiast w DefaultBox. Aby to zrobić, wybierz pozycję menu „Start” „ Menu startowe Sandboxie” i zmień domyślną piaskownicę.
Możesz uruchamiać aplikacje w odizolowanym środowisku nie tylko z menu kontekstowego, ale także bezpośrednio z okna Sandboxie. Aby to zrobić, kliknij kliknij prawym przyciskiem myszy kliknij nazwę „piaskownicy” i wybierz odpowiednie polecenie ( to menu dostępne również po kliknięciu ikony Sandboxie w zasobniku systemowym).
Nawiasem mówiąc, aby przyspieszyć wybór, możesz użyć poleceń „Uruchom przeglądarkę internetową” i „Uruchom klienta poczty e-mail”, które domyślnie otwierają aplikacje zainstalowane w systemie. Korzystając z menu kontekstowego piaskownic, możesz wykonywać inne polecenia, takie jak zamykanie jednym kliknięciem wszystkich aplikacji działających w piaskownicy, przeglądanie zawartości piaskownic lub całkowite ich usuwanie.
Aby szybko zidentyfikować program działający w odizolowanym środowisku, Sandboxie udostępnia specjalne polecenie „Okno w piaskownicy?”, Po wybraniu na ekranie pojawia się specjalny celownik, przeciągając go do żądanego okna, można uzyskać informacje o stanie programu.
Jeśli jednak piaskownica działa z parametrami domyślnymi, to narzędzie to nie jest potrzebne, ponieważ obok nazwy aplikacji w nagłówku pojawia się ikona [#]. Jeśli z jakiegoś powodu chcesz wyłączyć wyświetlanie ikony w nagłówku, możesz to zrobić w ustawieniach piaskownicy. Dodatkowo możesz dodać nazwę „piaskownicy” do tytułu okna, a także narysować wokół okna cienka rama dowolny kolor, który pomoże wyraźniej zidentyfikować przynależność do niego.
Odwołując się do innych ustawień piaskownicy, możesz elastycznie konfigurować uprawnienia dostępu do różnych zasobów. Możesz więc określić, które pliki i foldery będą blokowane przed dostępem, które programy będą miały dostęp tylko do odczytu, a także skonfigurować interakcję z kluczami rejestru systemowego.
W razie potrzeby w ustawieniach piaskownicy możesz określić aplikacje, które będą w niej wymuszone uruchamiać. Innymi słowy, po uruchomieniu określonego pliku Sandboxie przechwyci aplikację i uniemożliwi jej normalne działanie. Program pozwala określić nie tylko indywidualne pliki wykonywalne, ale także foldery, gdy uruchamiasz dowolne aplikacje, z których będą one otwierane w bezpiecznym środowisku. Ta ostatnia możliwość może być wykorzystana na przykład do uruchamiania nowych programów, które zostały pobrane z Internetu do folderu Pobrane.
BufferZone Pro to kolejny dobra decyzja do pracy z aplikacjami w odizolowanym środowisku. Pomimo tego, że za pomocą programu można najwięcej uruchomić w „piaskownicy”. różne aplikacje, jest przeznaczony głównie do pracy z przeglądarkami, klientami komunikatorów internetowych, programami do udostępniania plików peer-to-peer i innym oprogramowaniem internetowym. Świadczy o tym choćby fakt, że BufferZone początkowo ma dość obszerną listę aplikacji, które domyślnie uruchamiają się w tryb bezpieczeństwa. Pomiędzy nimi Mozilla Firefox, Google Chrome, ICQ, BitComet, Skype, GoogleTalk i inne. Użytkownik może edytować tę listę według własnego uznania, dodając do niej dodatkowe programy i usuwając niepotrzebne.
Podobnie jak narzędzie omówione powyżej, BufferZone może monitorować wszystkie aplikacje działające na komputerze i przekierowywać je do piaskownicy. BufferZone może również blokować uruchamianie nieznanych programów.
W przeciwieństwie do Sandboxie, ten program nie zapewnia możliwości tworzenia wielu „piaskownic”. Okna wszystkich programów uruchomionych w piaskownicy są otoczone czerwoną ramką. Zobacz, które programy są w ten moment pracować w odizolowanym środowisku, możesz także w głównym oknie BufferZone. Wyświetlane są tu również krótkie statystyki dotyczące działania programów w odizolowanym środowisku. BufferZone nie tylko zlicza, ile łącznie akcji wykonały takie aplikacje, ale także rejestruje potencjalnie niebezpieczne operacje w systemie, a także zagrożenia bezpieczeństwa, którym udało się zapobiec.
W przypadku, gdy program działający w piaskownicy wykonał złośliwy kod lub inną destrukcyjną akcję, możesz szybko usunąć wszystkie dane związane z aplikacjami działającymi w piaskownicy. Dodatkowo istnieje możliwość automatycznego czyszczenia takich danych według zdefiniowanego przez użytkownika harmonogramu.
BufferZone ma również kilka dodatkowe funkcje, które nie są bezpośrednio związane z piaskownicą, ale pomagają poprawić ogólne bezpieczeństwo komputera. Tak więc za pomocą programu możesz zabronić otwierania plików z zewnątrz dyski twarde, dysków DVD i napędów USB lub zezwalać na dostęp do takich danych tylko w odizolowanym środowisku.
Podsumowując, zauważamy, że oprócz płatnej wersji BufferZone Pro istnieje również bezpłatna edycja programu. Implementuje szereg ograniczeń, np. nie ma możliwości stworzenia migawki środowiska wirtualnego i przywrócenia zapisanych w nim danych. Ponadto w Darmowa wersja mniej aplikacji, dla których ochrona jest domyślnie włączona.
Wybierając specjalistyczny program do uruchamiania aplikacji w piaskownicy, należy pamiętać, że istnieją dwa główne podejścia do organizacji odizolowanego środowiska. W pierwszym przypadku tworzona jest „piaskownica” dla określonych przez użytkownika aplikacji i podczas jednej sesji pracy przy komputerze korzysta on zarówno z takich programów, które działają w odizolowanym środowisku, jak i tych, które działają w trybie normalnym. Programy wykorzystujące to podejście do organizowania ochrony systemu zostały omówione w tym artykule.
Jednak to rozwiązanie nie zawsze jest do przyjęcia. Istnieje drugie podejście do organizacji pracy oprogramowania w izolowanym środowisku, które polega na stworzeniu „piaskownicy” wielkości całego systemu operacyjnego. Tworzy to obraz działającego systemu, po czym użytkownik zaczyna pracować z nim, a nie z rzeczywistym środowiskiem. Wszystkie wykonane przez niego akcje są zapisywane tylko do ponownego uruchomienia, a po jego zakończeniu system wraca do pierwotnego stanu. To rozwiązanie jest wygodne w użyciu na publicznych komputerach, na przykład w kafejkach internetowych, na zajęciach komputerowych itp. O programach, za pomocą których możesz zorganizować taką ochronę, porozmawiamy w drugiej części artykułu.
Jeśli jesteś dobrze zaznajomiony z funkcjonalnością i funkcjami zainstalowanymi na twoim komputerze, prawdopodobnie wiesz, dlaczego potrzebne jest tak wspaniałe narzędzie, jak Sandbox. Z reguły ten moduł jest zawarty w najbardziej znanych programach antywirusowych, takich jak Avast.
Piaskownica lub, jak mówią, piaskownica to moduł oprogramowania, który pozwala uruchomić dowolną aplikację w ściśle odizolowanym środowisku.
Głównym zadaniem Sandbox jest zapewnienie maksymalnego bezpieczeństwa komputera podczas uruchamiania potencjalnie niebezpiecznych aplikacji lub odwiedzania zainfekowanych stron internetowych.
Muszę powiedzieć, że ta metoda nie jest pozbawiona wad - na przykład, gdy uruchomiony jest moduł piaskownicy tego samego Avasta, niektóre aplikacje działające w trybie awaryjnym mogą nie działać poprawnie, aw niektórych przypadkach nawet doprowadzić do zawieszenia programu antywirusowego.
Ponadto nie jest to zbyt wygodne, zwłaszcza gdy trzeba szybko przełączyć się z jednego trybu do drugiego. Dla tych, którzy nie są zadowoleni z tej sytuacji, możemy polecić prostszy i szybka decyzja- pożytek Piaskownica- program do piaskownicy.
Ten mały, poręczny program z rosyjskojęzycznym interfejsem umożliwia tworzenie wirtualnych obszarów, w których można uruchomić niemal każdą aplikację.
Jednocześnie wyniki wszystkich programów uruchamianych w Sandboxie będą zapisywane w osobnych, specjalnie zaprojektowanych folderach, bez wpływu na działanie systemu operacyjnego jako całości, chroniąc go tym samym przed możliwe uszkodzenie wirusy lub zmiany konfiguracji.
Sandboxie może być również używany jako anonimowe surfowanie do Internetu w tym sensie, że po zamknięciu przeglądarki na komputerze użytkownika nie pozostaną żadne ślady odwiedzanych stron. 
Praca w Sandboxie jest dość prosta. Podczas instalacji narzędzie może monitować o skonfigurowanie zgodności z niektórymi programami.
Wszystkie inne ustawienia, z wyjątkiem możliwości zintegrowania Sandboxie z menu kontekstowym Eksploratora, można pozostawić bez zmian.
Nawiasem mówiąc, oprócz ustawień globalnych, możliwa jest również zmiana parametrów samej piaskownicy. Oprócz ustawień ogólnych zaleca się pozostawienie tych ustawień jako domyślnych.
Program Sandboxie obsługuje tworzenie kilku osobnych piaskownic, aw każdej z nich można uruchomić kilka aplikacji.
Programy działające w tej samej piaskownicy mogą swobodnie wymieniać dane, ale aplikacje z różnych obszarów wirtualnych będą odizolowane od siebie, a także od systemu operacyjnego jako całości. Domyślnie narzędzie używa jednej piaskownicy o nazwie „ Pole domyślne".
Na przykład otwórzmy jakąś aplikację w Sandboxie, powiedzmy zwykły Notatnik. Może, Edytor tekstu i nie najlepszy przykład do demonstracji, ale w tej chwili nie ma to większego znaczenia.
Idziemy do menu Piaskownica» → « Pole domyślne» → « Biegaj w piaskownicy» → « …dowolny program". Następnie otworzy się małe prostokątne okno, w którym możesz wpisać nazwę programu, w naszym przypadku jest to notepad.exe, lub przeglądać, określając ścieżkę do aplikacji, która ma zostać otwarta z pulpitu. Możesz także rozpocząć z menu Start.
Co ciekawe, Sandboxie pozwala uruchamiać z różnymi profilami nawet aplikacje, które normalnie nie pozwalają na tworzenie kopii w pamięci.
Należy pamiętać, że programy działające w piaskownicy mają nieco zmienione tytuły działających okien, a także po najechaniu kursorem myszy na Górna część oknie podświetlony zostanie cały obszar obramowania żółty. Nie ma w tym nic strasznego, nie bój się, tak powinno być.
Skopiujmy więc i wklejmy fragment tekstu do Notatnika i spróbujmy zapisać plik. Początkowo Sandboxie poprosi o zapisanie dokumentu do własnego katalogu programu, ale zignorujmy tę sugestię i zapiszmy go w Dysk twardy D.
Jeśli jednak chcesz wyświetlić ten plik i przejść na dysk D, nie będzie go tam. Dokładniej, zostanie ukryty, a aby go przywrócić, należy go otworzyć w menu „ Pogląd" rozdział " Pliki i foldery”, znajdź żądany plik na liście rozwijanej i wybierz żądaną akcję z menu kontekstowego.
To w zasadzie cała praca tego wspaniałego narzędzia. Wszystko jest bardzo proste. Listę wszystkich aplikacji działających w Sandboxie można wyświetlić w głównym oknie narzędzia.
Dodatkowe funkcje Sandboxie obejmują ustawienia konta użytkownika, automatyczne uzupełnianie programów, wykrywanie trybu dowolnej aplikacji działającej w systemie Windows, a także kilka innych opcji.
Narzędzie Sandboxie jest lekkie, zużywa minimum zasobów systemowych i w ogóle nie zakłóca działania innych aplikacji, w razie potrzeby minimalizując je do zasobnika systemowego.
Najlepiej uruchomić Sandboxie poprzez menu Start, ponieważ ikona na pulpicie utworzona podczas instalacji nie otworzy samego programu, ale przeglądarka internetowa poszukiwacz.
Dodatkowo krótki filmik jak pobrać i zainstalować sandboxie:
Piaskownica 5.33.3
Darmowy program Piaskownica jest przeznaczony do bezpiecznego uruchamiania aplikacji w piaskownicy, czyli wirtualnym środowisku chronionym. Dzięki temu można kontrolować wszystkie uruchomione procesy. Piaskownica jest niezbędna, gdy musisz uruchomić nieznane lub oczywiście niebezpieczne programy, eliminując ryzyko infekcji komputera i zakłócenia jego działania. Możesz to zrobić za darmo, na dole strony znajduje się link, w którym możesz to łatwo zrobić.
Piaskownica poprawia bezpieczeństwo systemu operacyjnego Windows, zapewnia ochronę przed złośliwym oprogramowaniem podczas surfowania po sieci, podczas instalowania nieznanych programów. Sandboxie ma możliwość ochrony przed niechcianymi aktualizacjami, jest w stanie monitorować pocztę e-mail, wykorzystuje własną pułapkę na trojany, wirusy i oprogramowanie szpiegujące, które mogą ukrywać się w przychodzących wiadomościach e-mail.
Zalety piaskownicy to:
Piaskownica działa bardzo prosto, żaden uruchomiony w niej program nie ma dostępu do danych systemowych, rejestru, nie może wprowadzać zmian, pośrednio lub bezpośrednio zakłócać działania systemu operacyjnego. Uruchomienie nieznanego lub potencjalnie niebezpiecznego programu w piaskownicy pozwala zabezpieczyć komputer. wystarczająco pobierz Sandboxie, przypisać go do całej grupy programów, ustawiając im dostęp do różnych zasobów w zależności od celu.
Dzięki Sandboxie możesz zapewnić bezpieczne surfowanie po sieci bez obawy o wirusy podczas odwiedzania różnych stron. Zaletą jest to, że ustawienia i zmiany należy wprowadzić tylko raz, korzystając z nich później. Dzięki temu praca z narzędziem jest wygodniejsza i prostsza.
Pobierz Sandboxie za darmo w języku rosyjskim dla Windows 7, 8 i Windows 10. Nasza strona śledzi wszystkie aktualizacje oprogramowania, dzięki czemu masz Ostatnia wersja Piaskownica.
Z pewnością przynajmniej raz w życiu miałeś do czynienia z niewiarygodnymi aplikacjami i skryptami, które mogły zaszkodzić systemowi. Lub chciałeś uruchomić przeglądarkę w najbardziej odizolowanym środowisku, aby w przypadku włamania nic nie zagroziło Twojemu systemowi. Dziś takie zadania zazwyczaj rozwiązuje się za pomocą wszechobecnego Dockera, ale jest ich dużo dużo prostszych i przydatne narzędzia Dla szybki start aplikacje piaskownicy.
Na długo przed narodzinami idei Dockera w głowach jego twórców pojawił się projekt LXC (LinuX Containers). Opierał się on na wszystkich tych samych technologiach separacji przestrzeni nazw (Linux Namespaces) i w ten sam sposób pozwalał na stworzenie minimalistycznego, zamkniętego w sobie środowiska wykonawczego (sandbox, kontener) do uruchamiania usług lub niezabezpieczonych aplikacji. Jednak LXC nie był tak przyjazny dla nowych użytkowników i nie posiadał funkcji Dockera, takich jak warstwowy system plików, możliwość szybkiego pobrania i uruchomienia gotowej aplikacji oraz konfiguracji do automatycznego budowania środowisk.
Znacznie wcześniej FreeBSD wprowadził technologię jail, która pozwala na tworzenie piaskownic podobnych do chroot, ale z naciskiem na głębszy poziom izolacji. Przez długi czas więzienie było dumą FreeBSD, a nawet zainspirowało technologię Solaris Zones. Jednak dzisiaj nie może już zapewniać takiego poziomu elastyczności i zarządzania zasobami, jaki oferują LXC i Docker, więc całe więzienie przeszło na margines historii. Obecnie piaskownice w systemie Linux można tworzyć z wieloma różne sposoby. To wspomniany już LXC i Docker z ich przestrzeniami nazw, to jest mechanizm seccomp używany przez Chrome do izolowania zakładek i wtyczek, to są technologie SELinux/AppArmor, które pozwalają precyzyjnie dostroić dostęp aplikacji do wszystkiego. W tym artykule przyjrzymy się najbardziej przyjaznym dla użytkownika narzędziom, które najlepiej nadają się do codziennych zadań, takich jak:
Zacznijmy od jednej z najprostszych piaskownic. Mbox nie jest dość standardowym narzędziem do izolacji, nie ogranicza uprawnień uruchomiona aplikacja, nie wykonuje wirtualizacji stos sieciowy i nie ma żadnych ustawień. Jedynym zadaniem Mbox jest upewnienie się, że aplikacja nie może niczego zapisać w systemie plików. W tym celu tworzy specjalny wirtualny system plików, do którego przekierowuje wszystkie żądania I/O. Dzięki temu pod kontrolą Mbox aplikacja działa tak, jakby nic się nie stało, jednak w trakcie jej pracy otrzymujesz możliwość naniesienia lub odrzucenia pewnych zmian w wirtualnym systemie plików na rzeczywisty system plików.
Koncepcję tę najlepiej ilustruje przykład z oficjalnej strony Mbox:
$ mbox -wget google.com ... Podsumowanie sieci: > -> 173.194.43.51:80 > Utwórz gniazdo (PF_INET,...) > -> a00::2607:f8b0:4006:803:0 ... Piaskownica Katalog główny: > /tmp/sandbox-11275 > N:/tmp/index.html [c]ommit, [i]gnore, [d]iff, [l]ist, [s]hell, [q]uit ?>
W ta sprawa uruchomiony Mbox uruchamia Wget. Mbox ostrożnie mówi nam, że Wget uzyskuje dostęp do adresu 173.194.43.51 i portu 80 i zapisuje plik index.html, który możemy zastosować w głównym systemie (w tym celu naciśnij „c”), zignorować (i), wyświetlić różnicę, wykonać inne operacje lub całkowicie zakończyć aplikację. Możesz sprawdzić, jak to wszystko działa, po prostu instalując gotowy pakiet Mbox. W Debianie/Ubuntu odbywa się to w następujący sposób:
$ wget http://pdos.csail.mit.edu/mbox/mbox-latest-amd64.deb $ sudo dpkg -i mbox-latest-amd64.deb
W Arch Linuksa Mbox jest dostępny na AUR, więc instalacja jest jeszcze łatwiejsza:
$ yaourt -S mbox-git
To wszystko. Teraz możesz uruchamiać dowolne pliki binarne bez obawy, że pozostawią one backdoora w systemie plików. Jeśli aplikacja musi ograniczyć dostęp do niektórych części systemu plików, można użyć profili. Są to zwykłe pliki tekstowe zawierające listę dozwolonych i zabronionych katalogów. Na przykład następujący profil uniemożliwi aplikacji dostęp do twojego katalogu domowego (~), ale pozwoli jej pracować z plikami w bieżącym katalogu (.):
Umożliwić: . ukryć: ~
Aby uruchomić aplikację z określonym profilem, po prostu określ go za pomocą opcji -p:
$ mbox -p profil.prof -wget google.com
Inną użyteczną opcją jest -n. Całkowicie blokuje aplikacji dostęp do Internetu. 
Nie trzeba dodawać, że sama odmowa dostępu do plików to zbyt mało, aby stworzyć naprawdę izolowane piaskownice. Złośliwy kod lub haker może w ogóle nic nie napisać do systemu, ale po prostu zabrać ze sobą swój portfel Bitcoin i bazę danych haseł KeePass lub wykorzystać lukę w aplikacji, aby uzyskać prawa roota i z piaskownicy. Ponadto Mbox nie jest przyjazny programom graficznym i ogólnie nie nadaje się do uruchamiania skomplikowanych aplikacji, które mogą zapisywać wiele plików tymczasowych na dysku i stale aktualizować swoje bazy danych.
Jeśli wśród 95 profili Firejail nie ma aplikacji, których potrzebujesz, a pomysł napisania własnych profili nie sprawia Ci zbytniej radości, to Sandbox jest Twoim wyborem. Ten rodzaj piaskownicy jest technicznie bardzo różny od dwóch opisanych już narzędzi (wykorzystuje reguły SELinux zamiast seccomp i przestrzeni nazw), ale pod względem funkcjonalności plasuje się gdzieś pomiędzy.
Podobnie jak Mbox, Sandbox całkowicie odcina aplikację od świata zewnętrznego, umożliwiając odczyt tylko stdin (to znaczy, że możesz przekazywać dane z innej aplikacji na wejście aplikacji działającej w piaskownicy) i zapisywanie tylko na stdout (wyświetlanie dane na ekranie lub przekierować je do innej aplikacji). Wszystko inne, w tym dostęp do systemu plików, sygnałów, innych procesów i sieci, jest zabronione. Najprostszy przypadek użycia:
$ kot /etc/hasło | wycinanie piaskownicy -d: -f1 > /tmp/users
To polecenie odczytuje plik /etc/passwd, wyodrębnia z niego nazwy użytkowników i zapisuje je do pliku /tmp/users. Nie ma z tego żadnych korzyści, ale doskonale pokazuje zasady działania Sandbox. W piaskownicy uruchamiane jest tylko polecenie cut, a sam plik /etc/passwd jest do niego przekazywany za pomocą polecenia zewnętrznego. Z drugiej strony dane wyjściowe są implementowane przy użyciu normalnego przekierowania stdout.
Piękno Sandbox polega na tym, że bardzo łatwo można rozszerzyć możliwości aplikacji. Na przykład możesz utworzyć tymczasowy katalog domowy i katalog /tmp, przekazując tylko jedną flagę do polecenia:
$ piaskownica -M mc
Po zakończeniu programu katalogi te zostaną zniszczone, co jest bardzo wygodne w przypadku uruchamiania niezaufanego oprogramowania. Ale co, jeśli katalog domowy musi być zachowany między uruchomieniami (no, powiedzmy, w celu przetestowania oprogramowania, które działa z wieloma plikami)? Aby to zrobić, po prostu utwórz katalog, który stanie się domem dla piaskownicy i dodaj jeszcze jedną opcję:
$ mkdir sandbox_home $ sandbox -M -H sandbox_home mc
Teraz mc ma własny katalog domowy, w którym może zapisywać konfiguracje i odczytywać pliki. Sandbox umożliwia również uruchamianie oprogramowania graficznego (za pomocą wirtualny serwer X Xefir). Aby to zrobić, po prostu przekaż kolejną flagę:
$ piaskownica -X -M -H piaskownica_domowa gvim
Ale to nie wszystko. Sandbox ma wbudowane zasady bezpieczeństwa dla działających przeglądarek. Wszystko, co musisz zrobić, to uruchomić następujące polecenie:
Wydajność aplikacji w Mbox jest średnio o 12-13% niższa niż zwykle
Uruchamianie Firefoksa w piaskownicy
Część profil firefoxa
$ sandbox -X -H sandbox_home -t sandbox_web_t firefox
Co więcej, jak powinieneś już wiedzieć, możesz używać różnych katalogów domowych do uruchamiania różnych sesji przeglądarki lub korzystać z „jednorazowego” katalogu domowego do wycieczek do nawiedzeń. Inną przydatną flagą, o której warto wspomnieć, jest -w, której można użyć do określenia rozmiaru okna dla oprogramowania graficznego. Na pewno się przyda, ponieważ nie można dynamicznie zmieniać rozmiaru okna (jest to techniczne ograniczenie Xephyra).
Ogólnie rzecz biorąc, Sandbox jest bardzo przydatnym narzędziem, z którym jedynym problemem jest obsługa w dystrybucjach. W rzeczywistości, po wyjęciu z pudełka, Sandbox działa tylko na Fedorze, opartym na nim RHEL/CentOS i prawdopodobnie innych dystrybucjach z domyślnie włączonym SELinux.
Uruchamianie oprogramowania w piaskownicy jest dość łatwe i istnieje wiele narzędzi, których można do tego użyć. W tym artykule omówiliśmy trzy z nich.
Które z tych narzędzi wybrać - zdecyduj sam. W następnym artykule zagłębimy się w zawiłości wdrażania piaskownic i stworzymy je własnymi rękami.
