Kompiliavimas "išjungus" sistemos bibliotekas

Sveiki,

man reikia sukompiliuoti programą iš nepatikimo šaltinio ant Ubuntu sistemos naudojant Gcc kompiliatorių. Ar yra toks kompiliatoriaus ar kieno nustatymas, kad kompiliuojant nebūtų galima naudoti sistemos bibliotekų? Taip pat būtų gerai, kad būtų galima išjungti ir darbo su failais bei internetu (sockets) bibliotekos.

Ar įmanoma tai padaryti?

Sveiki,

 

man reikia sukompiliuoti programą iš nepatikimo šaltinio ant Ubuntu sistemos naudojant Gcc kompiliatorių. Ar yra toks kompiliatoriaus ar kieno nustatymas, kad kompiliuojant nebūtų galima naudoti sistemos bibliotekų? Taip pat būtų gerai, kad būtų galima išjungti ir darbo su failais bei internetu (sockets) bibliotekos.

 

Ar įmanoma tai padaryti?

Ne. Tu nori pasakyti, jog nori sukompiliuoti programą, kuri negalėtų daryti visiškai nieko - nei prisiskirti atminties, nei prieiti prie standartinės išvesties (stdout). Pastarieji du - yra sisteminių bibliotekų darbas.

Kad ir kaip būtų gaila darbo su failais funkcijos yra ten pat, kur yra viskas susiję su standartine įvestimi/išvestimi (pastarieji yra file-like struktūros).

Jei nori saugiau paleisti nesaugią programą, naudok sandbox'ą.

Kita išeitis - paleisk sukompiliuotą programą kaip atskiras vartotojas, kuris neturi prieigos teisių prie jokių kitų apart savo katalogo. Tokiu atveju, kad ir ką programa neleistino bedarytų (keistų/skaitytų/rašytų failus), ji tiesiog crashins. Jei to vartotojo, kuris paleidžia programą, nepriskirsi grupei pavadinimu network, tai programa neturės prieigos prie interneto.

Ne. Tu nori pasakyti, jog nori sukompiliuoti programą, kuri negalėtų daryti visiškai nieko - nei prisiskirti atminties, nei prieiti prie standartinės išvesties (stdout). Pastarieji du - yra sisteminių bibliotekų darbas.

Kad ir kaip būtų gaila darbo su failais funkcijos yra ten pat, kur yra viskas susiję su standartine įvestimi/išvestimi (nes pastarieji ir yra file-like struktūros).

 

Jei nori saugiau paleisti nesaugią programą, naudok sandbox'ą.

Kalbant apie SandBox'us, seccomp man atrodo gana neblogai, bet gal žinai ar galima per terminalo komandą (kurią paleis kita programa paleisdama nepatikimą) nurodyti, kad šiam procesui reikia taikyti seccomp?

Kalbant apie SandBox'us, seccomp man atrodo gana neblogai, bet gal žinai ar galima per terminalo komandą (kurią paleis kita programa paleisdama nepatikimą) nurodyti, kad šiam procesui reikia taikyti seccomp?

http://chdir.org/~nico/seccomp-nurse/

Žemiau yra įrašymo ir „įkalintos“ programos paleidimo instrukcijos.