Начальная

Windows Commander

Far
WinNavigator
Frigate
Norton Commander
WinNC
Dos Navigator
Servant Salamander
Turbo Browser

Winamp, Skins, Plugins
Необходимые Утилиты
Текстовые редакторы
Юмор

File managers and best utilites

Сравнение «песочниц» — приложений для изолированного запуска программ. Песочница для браузера


Как правильно пользоваться песочницей Sandboxie

Даже самые полезные и качественно написанные программы выполняют не только безусловно правильные задачи. Побочный эффект их работы - «загрязнение» операционной системы ненужными ключами реестра, тормозящими работу ПК. От части программного «мусора» не вылечиться и после деинсталляции. А когда программа целенаправленно нашпигована дополнительными утилитами (бесполезные «ускорители работы», тулбары, рекламные дополнения), то польза может быть и вовсе сведена на нет. Есть и откровенно вредоносные приложения: вирусы, трояны, блокировщики Windows, чья задача – украсть с компьютера всё, что можно: пароли, данные о банковских картах, другую конфиденциальную информацию.

Для чего нужны песочницы

Простой метод профилактики вредоносов – использование программ-песочниц наподобие Sandboxie. Слово «песочница» перекочевало в компьютерный мир из сленга пожарных: огнеборцы используют ящики с песком для того, чтобы бросать в эти защищённые пространства горящие предметы, изолируя источник пламени от окружающего пространства.

Подобно пожарным песочницам, Sandboxie сооружает внутри физического ПК почти настоящий компьютер – с привычной коллекцией уже установленных приложений и файлов. Эта среда изначально огорожена от настоящего рабочего окружения. Внутри можно запускать и устанавливать всё, что угодно. Необходимые данные будут скопированы из настоящей Windows внутрь изолированного «загона»: это направление прозрачно и открыто. Однако ни один элемент из песочной среды не способен просочиться во внешний программно-компьютерный мир. Граница песочницы очерчена строго: через неё на «Большой ПК» не пройдёт ни один ключ реестра, никакой вредный код.

Как работает Sandboxie

После установки крохотной (6,6 Мб) программы внутрь контекстного меню добавляется пункт «Запустить в песочнице»: на первое время это главный инструмент работы с Sandboxie. Меню доступно при выборе любого файла: видео, текстового документа, «exe-шника».При помощи правой кнопки и пункта «Запустить в песочнице» любой файл можно открыть в безопасной виртуальной среде.

Все приложения, запущенные в среде Sandboxie, визуально выделяются рамкой жёлтого цвета и символами # в верхней строке с названием программы/файла. Вместо жёлтого цвета можно подобрать любой другой; символы # также легко меняются на альтернативные.Так будет выглядеть окно популярного браузера Opera, если запустить его через Sandboxie. После закрытия окна в системе не останется никаких следов посещения web-сайтов или иных интернет сервисов, открытых через Opera.

В панели задач Windows видны все запущенные приложения. Папка «5 глава» и браузер Opera запущены в Sanboxie (окна обрамлены символами #), другие программы – в обычном режиме Windows.

Всё, что запущено, изменяется и сохраняется в песочнице, остаётся внутри неё. Можно часами сёрфить интернет, устанавливать программы, сохранять и иметь доступ к многочисленным файлам: после закрытия виртуальной среды с компьютера удалится вся наработанная за это время информация. Впрочем, Sandboxie заботливо спросит – не желает ли пользователь перенести в обычную среду сохранённые данные. Подобное уничтожение всей наработанной информации знакомо по инкогнито-режимам современных браузеров. Только в случае песочницы происходит стирание данных не только веб-обозревателей, а всех запущенных внутри неё приложений.

Практическое применение песочницы Sandboxie

Внутри удобно запускать приложения, которым пока нет полного доверия (а кто не экспериментировал с кейгенами, «кряками» и другими окололегальными утилитами? :-) ). Виртуальная среда полезна и тестировщикам ПО, и для ознакомления с неизвестным приложением. После закрытия песочницы Windows вернётся в то же состояние, что и до её запуска.Установка приложения в Sandboxie. Обратите внимание на «фирменную» жёлтую рамку и метки [#] в обрамлении заголовка окна.

При помощи Sanboxie можно и временно устанавливать ПО для экспериментов. После закрытия программы все её следы переместятся в электронное небытие, включая изменения реестра, иконки на Рабочем столе, настройки. В случае с проверенным комбайном iTunes эти предосторожности, наверное, излишни (с другой стороны, если мультимедиа-приложение нужно лишь на полчаса, для экспериментов – зачем оставлять после него следы в реестре и другие «тормоза"?). А если в той же закрытой среде произойдёт запуск с подключённой флешки некого злонравного Autorun_Delete_All.exe – это совсем другой вопрос. Sandboxie, к слову, позволяет настроить автозапуск любых внешних накопителей внутри своих ресурсов – замечательная альтернатива антивирусной проверке подключённых устройств.

Минусы работы Sandboxie

Всё, что запускается внутри «ненастоящего компьютера», сначала копируется из внешней среды, затем обрабатывается инструментами песочницы, и лишь после этого запускается. В результате неизбежно некоторое замедление привычных процедур. Сложно назвать это недостатком, лучше провести такую аналогию: автомобильные ремни безопасности тоже чуть сковывают движения и могут примять одежду, зато спасут в опасные мгновения.

Мы провели некоторое синтетическое исследование и выяснили, что обычные приложения, вроде браузеров, медиаплееров, архиваторов замедляют свою работу на 9-30% в зависимости от сложности проводимых ими вычислений. Если же на вашей машине присутствует современный многоядерный процессор, да ещё и есть SSD диск, то разница сложно ощутима.

Песочница не способна защитить от перехвата вводимых с клавиатуры паролей; она не заметит, что вместо привычного почтовика открыт мошеннический сайт. Эти задачи как и раньше следует возлагать на антивирусы. Зато Sandboxie спасёт от проникновения внутрь системы вредоносного кода.

Заключение

За рамками статьи остаются глубинные настройки и менее востребованные возможности. Если копнуть интерфейс приложения глубже, то даже опытные пользователи не всегда с первого раза способны разобраться в многочисленных опциях песочницы. Богатство функциональности напоминает возможности, к примеру, Word: успешно пользоваться им может и школьник. При этом в недрах текстового процессора присутствуют и «аэрокосмические» возможности для продвинутых верстальщиков, программистов, аналитиков.Глаза разбегаются? А ведь это лишь небольшая часть продвинутых настроек Sandboxie. Впрочем, столь же глубинные параметры прячутся и в недрах привычных Excel, Word, и даже банальных музыкальных плееров. Так и в случае с нашим героем: базовый функционал прост и понятен, но при желании программу-песочницу можно изучать не один день.

Добавим лишь, что Sandboxie позволяет:

  • одновременно запускать сколько угодно отдельных песочниц;
  • переносить нужные данные из закрытой среды в открытое пространство;
  • "консервировать» состояние песочницы для дальнейшей работы с ней;

kilosofta.com

Игры с песочницей. Выбираем простое и быстрое решение для изоляции приложений

Содержание статьи

Наверняка хоть раз в жизни тебе приходилось иметь дело с не вызывающими доверия приложениями и скриптами, которые могли навредить системе. Или ты хотел запустить браузер в максимально изолированном окружении, чтобы в случае его взлома твоей системе ничто не угрожало. Сегодня подобные задачи принято решать с помощью вездесущего Docker, однако есть масса гораздо более простых и удобных инструментов для быстрого запуска приложений в песочницах.

 

Вместо введения

Задолго до того, как идея Docker зародилась в головах его создателей, появился проект LXC (LinuX Containers). Он был основан на все тех же технологиях разделения пространств имен (Linux Namespaces) и точно так же позволял создать минималистичное замкнутое на себя окружение исполнения (песочницу, контейнер) для запуска сервисов или небезопасных приложений. Однако LXC не был столь дружелюбным к новым пользователям и не обладал фишками Docker вроде слоеной файловой системы, возможности быстро выкачать и запустить уже готовое приложение и конфигами для автоматической сборки окружений.

Намного раньше во FreeBSD появилась технология jail, позволяющая создавать песочницы, подобные chroot, но с акцентом на более глубокий уровень изоляции. Долгое время jail была гордостью FreeBSD и даже послужила прообразом для технологии Solaris Zones. Однако сегодня она уже не может обеспечить тот уровень гибкости и управления ресурсами, которые предлагают LXC и Docker, так что в целом jail оказалась на обочине истории. Сегодня песочницы в Linux можно создавать множеством разных способов. Это и уже упомянутые LXC и Docker с их пространствами имен, это механизм seccomp, используемый Chrome для изоляции вкладок и плагинов, это технологии SELinux/AppArmor, позволяющие тонко регулировать доступ приложения к чему бы то ни было. В этой статье мы познакомимся с самыми удобными для обычного пользователя инструментами, которые лучше всего подходят для решения повседневных задач, таких как:

  • запуск не вызывающего доверия приложения, способного навредить системе;
  • изоляция браузера, email-клиента и других приложений, чтобы их взлом не привел к утечке данных;
  • запуск «одноразовых» приложений, которые не должны оставлять следов в системе.

 

Mbox

Начнем с одной из самых простых песочниц. Mbox — не совсем стандартный инструмент изоляции, он не урезает полномочия запущенного приложения, не выполняет виртуализацию сетевого стека и не имеет каких-либо настроек. Единственная задача Mbox — сделать так, чтобы приложение не смогло ничего записать в файловую систему. Для этого он создает специальную виртуальную ФС, на которую перенаправляет все запросы ввода/вывода. В результате под управлением Mbox приложение работает как ни в чем не бывало, однако в ходе его работы ты получаешь возможность применить или отвергнуть те или иные изменения виртуальной файловой системы к файловой системе реальной.

Лучше всего эту концепцию демонстрирует пример с официальной страницы Mbox:

$ mbox -- wget google.com ... Network Summary: > [11279] -> 173.194.43.51:80 > [11279] Create socket(PF_INET,...) > [11279] -> a00::2607:f8b0:4006:803:0 ... Sandbox Root: > /tmp/sandbox-11275 > N:/tmp/index.html [c]ommit, [i]gnore, [d]iff, [l]ist, [s]hell, [q]uit ?>

В данном случае под управлением Mbox запускается Wget. Mbox заботливо сообщает нам, что Wget обращается к адресу 173.194.43.51 и порту 80, и записывает файл index.html, который мы можем применить к основной системе (для этого нужно нажать «c»), игнорировать (i), просмотреть diff, выполнить другие операции или вообще завершить приложение. Проверить, как это все работает, можно, просто установив уже готовый пакет Mbox. В Debian/Ubuntu это делается так:

$ wget http://pdos.csail.mit.edu/mbox/mbox-latest-amd64.deb $ sudo dpkg -i mbox-latest-amd64.deb

В Arch Linux Mbox доступен в AUR, поэтому установить его еще проще:

$ yaourt -S mbox-git

Это все. Теперь можно запускать любые бинарники, не беспокоясь, что они оставят в файловой системе бэкдор. В случае если приложению необходимо ограничить доступ к определенным частям файловой системы, можно использовать профили. Это обычные текстовые файлы, в которых перечислены разрешенные и запрещенные на доступ каталоги. Например, следующий профиль запретит приложению доступ к твоему домашнему каталогу (~), но оставит возможность работы с файлами текущего каталога (.):

[fs] allow: . hide: ~

Чтобы запустить приложение с определенным профилем, достаточно указать его через опцию -p:

$ mbox -p profile.prof -- wget google.com

Еще одна полезная опция — -n. Она полностью запрещает приложению доступ в интернет.

Как работает MboxКак работает MboxПроизводительность приложения в Mbox в среднем на 12–13% ниже обычнойПроизводительность приложения в Mbox в среднем на 12–13% ниже обычной

 

Firejail

Само собой разумеется, простой запрет на доступ к файлам — это слишком мало для создания по-настоящему изолированных песочниц. Вредоносный код или взломщик могут вообще ничего не прописывать в систему, а просто унести с собой твой Bitcoin-кошелек и базу паролей KeePass или использовать уязвимость приложения для получения прав root и выхода из песочницы. К тому же Mbox не дружит с графическим софтом и в целом не годится для запуска комплексных приложений, которые могут записывать на диск множество временных файлов и постоянно обновляют свои базы данных.

К счастью, у нас есть Firejail, гораздо более гибкий и мощный инструмент изоляции, который не просто контролирует доступ к ФС, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces. Запущенное в песочнице Firejail приложение имеет доступ только к заранее определенным файлам и функциям системы. Например, можно запретить приложению доступ ко всем файлам, кроме собственных конфигов, открыть некоторые файлы только на чтение или только на запись, запретить поднимать свои привилегии до root, запретить подключаться к определенным портам, запретить небезопасные системные вызовы, такие как execv.

Ограничения приложения задаются в профиле, который может насчитывать десятки строк типа noroot, seccomp, whitelist ~/.mozilla. Однако лично тебя никто не заставляет их писать — Firejail уже включает в себя профили для 95 различных приложений. Все, что остается сделать, — просто установить инструмент и запустить программу:

$ wget http://sourceforge.net/projects/firejail/files/firejail/firejail_0.9.40_1_amd64.deb $ sudo dpkg -i firejail_0.9.40_1_amd64.deb $ firejail firefox

Все, теперь Firefox работает в изолированной песочнице и имеет доступ только к своему собственному каталогу, нескольким связанным конфигам (KeePass, например) и не имеет доступа к опасным системным вызовам и портам за исключением 80, 443 и 53.

Запускаем Firefox в песочницеЗапускаем Firefox в песочнице

Более того, ты можешь запустить Firefox в полностью стерильном окружении без доступа к конфигам и файлам основной системы:

$ firejail --private --dns=8.8.8.8 firefox -no-remote

Такой способ запуска полезен при работе с интернет-банками и любой важной информацией. Основная идея здесь в том, что, если твой основной браузер будет скомпрометирован с помощью вредоносного кода, который ты случайно подцепил на одном из развлекательных сайтов или установив не вызывающее доверия расширение, приватная песочница останется не затронута и банковский аккаунт будет в безопасности.

Ты можешь создать сразу несколько таких песочниц и использовать их для захода на разные сайты (здесь USER — это твое имя пользователя):

$ firejail --private=/home/USER/work firefox -no-remote & $ firejail --private=/home/USER/bank firefox -no-remote & $ firejail --private=/home/USER/other firefox -no-remote &

Эти команды запустят три инстанса браузера в отдельных песочницах. Первый ты будешь использовать для работы, второй для онлайн-банкинга, а третий для всего остального, не связанного с первыми двумя. Компрометация одной из песочниц не приведет к компрометации остальных.

В случае необходимости ты можешь даже ограничить ширину канала для запущенного в песочнице приложения. Например, следующая команда ограничит ширину входящего канала до 80 Кбайт/с, а ширину исходящего — до 20:

$ firejail --name=browser --net=eth0 firefox & $ firejail --bandwidth=browser set eth0 80 20

Все профили приложений Firejail хранит в каталоге /etc/firejail. Если тебе нужно создать профиль для приложения, не поддерживаемого Firejail, просто скопируй профиль похожего по функциональности приложения и измени его. Формат профиля интуитивно понятен. Правда, для фильтрации системных вызовов придется выяснить, какие из них использует приложение, а затем добавить в профиль. Как это сделать, описано в официальной документации.

Часть профиля firefoxЧасть профиля firefox

 

Sandbox

Если среди 95 профилей Firejail нет нужных тебе приложений, а идея писать профили самому не слишком тебя радует, то Sandbox — это твой выбор. Данный вид песочницы технически сильно отличается от двух уже описанных инструментов (он использует правила SELinux вместо seccomp и Namespaces), но в плане функциональности представляет собой нечто среднее.

Как и Mbox, Sandbox полностью отрезает приложение от внешнего мира, позволяя читать только stdin (то есть на вход запущенного в песочнице приложения можно передать данные другого приложения), а писать только в stdout (выводить данные на экран или перенаправлять другому приложению). Все остальное, включая доступ к файловой системе, сигналам, другим процессам и сети, запрещено. Простейший пример использования:

$ cat /etc/passwd | sandbox cut -d: -f1 > /tmp/users

Данная команда читает файл /etc/passwd, извлекает из него имена пользователей и записывает их в файл /tmp/users. Пользы от нее никакой, но она отлично демонстрирует принципы работы Sandbox. В песочнице запускается только команда cut, а сам файл /etc/passwd передается ей с помощью внешней команды. Вывод, с другой стороны, реализуется с помощью обычного перенаправления stdout.

Сообщение SELinux при попытке «свернуть» Vim с помощью Ctrl-ZСообщение SELinux при попытке «свернуть» Vim с помощью Ctrl-Z

Красота Sandbox в том, что с его помощью довольно легко расширить доступные приложению возможности. Например, ты можешь создать для него временные домашний каталог и каталог /tmp, передав команде всего один флаг:

$ sandbox -M mc

После завершения работы программы эти каталоги будут уничтожены, что весьма удобно при запуске не вызывающего доверия софта. Но что, если домашний каталог нужно сохранять между запусками (ну, допустим, для того, чтобы протестировать софт, работающий с множеством файлов)? Для этого достаточно создать каталог, который станет домашним для песочницы, и добавить еще одну опцию:

$ mkdir sandbox_home $ sandbox -M -H sandbox_home mc

Теперь у mc есть свой собственный домашний каталог, куда он может сохранять конфиги и откуда может читать файлы. Также Sandbox позволяет запускать графический софт (с помощью виртуального X-сервера Xephyr). Для этого достаточно передать еще один флаг:

$ sandbox -X -M -H sandbox_home gvim

Но и это еще не все. Sandbox имеет встроенные политики безопасности для запуска браузеров. Все, что нужно сделать, — выполнить такую команду:

$ sandbox -X -H sandbox_home -t sandbox_web_t firefox

Причем, как ты уже должен был понять, ты можешь использовать разные домашние каталоги для запуска разных сессий браузера или использовать «одноразовый» домашний каталог для походов по злачным местам. Еще один полезный флаг, о котором стоит упомянуть, — -w, с его помощью можно указать размер окна для графического софта. Он тебе определенно пригодится, так как динамически менять размер окна нельзя (это техническое ограничение Xephyr).

В целом Sandbox — очень удобный инструмент, единственная проблема которого — поддержка в дистрибутивах. Фактически прямо из коробки Sandbox работает только в Fedora, основанных на нем RHEL/CentOS и, возможно, в других дистрибутивах с активированным по умолчанию SELinux.

 

Выводы

Запустить софт в песочнице довольно просто, и для этого можно использовать множество инструментов. В этой статье мы рассмотрели три из них.

  • Mbox отличается крайней простотой и идеален, когда необходимо контролировать то, к каким файлам приложение должно получить доступ.
  • Firejail подходит для создания сложных конфигураций и запуска почти сотни различных приложений, но не очень удобен, если нужного приложения нет в списке поддерживаемых.
  • Sandbox — прекрасный инструмент для запуска любых типов софта, но доступен только пользователям Fedora и основанных на нем дистрибутивов.

Какой из этих инструментов выбрать — решай сам. А в следующей статье мы окунемся с тобой в тонкости реализации песочниц и создадим ее собственными руками.

xakep.ru

Сравнение «песочниц» — приложений для изолированного запуска программ

Пока все ловили покемонов, я отдыхал. Пришла пора возобновить активность на мэйзе и сегодня мы познакомимся с изолированными песочницами для запуска приложений. Наверняка хоть раз в жизни тебе приходилось иметь дело с не вызывающими доверия приложениями и скриптами, которые могли навредить системе. Или ты хотел запустить браузер в максимально изолированном окружении, чтобы в случае его взлома твоей системе ничто не угрожало. Сегодня подобные задачи принято решать с помощью вездесущего Docker, однако есть масса гораздо более простых и удобных инструментов для быстрого запуска приложений в песочницах.

Приложений для изолированного запуска программ песочницы

Задолго до того, как идея Docker зародилась в головах его создателей, появился проект LXC (LinuX Containers). Он был основан на все тех же технологиях разделения пространств имен (Linux Namespaces) и точно так же позволял создать минималистичное замкнутое на себя окружение исполнения (песочницу, контейнер) для запуска сервисов или небезопасных приложений. Однако LXC не был столь дружелюбным к новым пользователям и не обладал фишками Docker вроде слоеной файловой системы, возможности быстро выкачать и запустить уже готовое приложение и конфигами для автоматической сборки окружений.

Намного раньше во FreeBSD появилась технология jail, позволяющая создавать песочницы, подобные chroot, но с акцентом на более глубокий уровень изоляции. Долгое время jail была гордостью FreeBSD и даже послужила прообразом для технологии Solaris Zones. Однако сегодня она уже не может обеспечить тот уровень гибкости и управления ресурсами, которые предлагают LXC и Docker, так что в целом jail оказалась на обочине истории. Сегодня песочницы в Linux можно создавать множеством разных способов. Это и уже упомянутые LXC и Docker с их пространствами имен, это механизм seccomp, используемый Chrome для изоляции вкладок и плагинов, это технологии SELinux/AppArmor, позволяющие тонко регулировать доступ приложения к чему бы то ни было. В этой статье мы познакомимся с самыми удобными для обычного пользователя инструментами, которые лучше всего подходят для решения повседневных задач, таких как:

  • запуск не вызывающего доверия приложения, способного навредить системе;
  • изоляция браузера, email-клиента и других приложений, чтобы их взлом не привел к утечке данных;
  • запуск «одноразовых» приложений, которые не должны оставлять следов в системе.

1Песочница MBOX

Начнем с одной из самых простых песочниц. Mbox — не совсем стандартный инструмент изоляции, он не урезает полномочия запущенного приложения, не выполняет виртуализацию сетевого стека и не имеет каких-либо настроек. Единственная задача Mbox — сделать так, чтобы приложение не смогло ничего записать в файловую систему. Для этого он создает специальную виртуальную ФС, на которую перенаправляет все запросы ввода/вывода. В результате под управлением Mbox приложение работает как ни в чем не бывало, однако в ходе его работы ты получаешь возможность применить или отвергнуть те или иные изменения виртуальной файловой системы к файловой системе реальной.

Лучше всего эту концепцию демонстрирует пример с официальной страницы Mbox:

$ mbox -- wget google.com ... Network Summary: > [11279] -> 173.194.43.51:80 > [11279] Create socket(PF_INET,...) > [11279] -> a00::2607:f8b0:4006:803:0 ... Sandbox Root: > /tmp/sandbox-11275 > N:/tmp/index.html [c]ommit, [i]gnore, [d]iff, [l]ist, [s]hell, [q]uit ?>

В данном случае под управлением Mbox запускается Wget. Mbox заботливо сообщает нам, что Wget обращается к адресу 173.194.43.51 и порту 80, и записывает файл index.html, который мы можем применить к основной системе (для этого нужно нажать «c»), игнорировать (i), просмотреть diff, выполнить другие операции или вообще завершить приложение. Проверить, как это все работает, можно, просто установив уже готовый пакет Mbox. В Debian/Ubuntu это делается так:

$ wget http://pdos.csail.mit.edu/mbox/mbox-latest-amd64.deb $ sudo dpkg -i mbox-latest-amd64.deb

В Arch Linux Mbox доступен в AUR, поэтому установить его еще проще:

$ yaourt -S mbox-git

Это все. Теперь можно запускать любые бинарники, не беспокоясь, что они оставят в файловой системе бэкдор. В случае если приложению необходимо ограничить доступ к определенным частям файловой системы, можно использовать профили. Это обычные текстовые файлы, в которых перечислены разрешенные и запрещенные на доступ каталоги. Например, следующий профиль запретит приложению доступ к твоему домашнему каталогу (~), но оставит возможность работы с файлами текущего каталога (.):

2 3 [fs] allow: . hide: ~

Чтобы запустить приложение с определенным профилем, достаточно указать его через опцию -p:

$ mbox -p profile.prof -wget google.com

Еще одна полезная опция — -n. Она полностью запрещает приложению доступ в интернет.

 

Принцип работы mbox

2Изолируем запуск приложений при помощи FIREJAIL

Само собой разумеется, простой запрет на доступ к файлам — это слишком мало для создания по-настоящему изолированных песочниц. Вредоносный код или взломщик могут вообще ничего не прописывать в систему, а просто унести с собой твой Bitcoin-кошелек и базу паролей KeePass или использовать уязвимость приложения для получения прав root и выхода из песочницы. К тому же Mbox не дружит с графическим софтом и в целом не годится для запуска комплексных приложений, которые могут записывать на диск множество временных файлов и постоянно обновляют свои базы данных.

К счастью, у нас есть Firejail, гораздо более гибкий и мощный инструмент изоляции, который не просто контролирует доступ к ФС, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces. Запущенное в песочнице Firejail приложение имеет доступ только к заранее определенным файлам и функциям системы. Например, можно запретить приложению доступ ко всем файлам, кроме собственных конфигов, открыть некоторые файлы только на чтение или только на запись, запретить поднимать свои привилегии до root, запретить подключаться к определенным портам, запретить небезопасные системные вызовы, такие как execv.

Ограничения приложения задаются в профиле, который может насчитывать десятки строк типа noroot, seccomp, whitelist ~/.mozilla. Однако лично тебя никто не заставляет их писать — Firejail уже включает в себя профили для 95 различных приложений. Все, что остается сделать, — просто установить инструмент и запустить программу:

$ wget http://sourceforge.net/projects/firejail/files/firejail/ firejail_0.9.40_1_amd64.deb $ sudo dpkg -i firejail_0.9.40_1_amd64.deb $ firejail firefox

Все, теперь Firefox работает в изолированной песочнице и имеет доступ только к своему собственному каталогу, нескольким связанным конфигам (KeePass, например) и не имеет доступа к опасным системным вызовам и портам за исключением 80, 443 и 53.

Демострация работы Firejail

Более того, ты можешь запустить Firefox в полностью стерильном окружении без доступа к конфигам и файлам основной системы:

firejail --private --dns=8.8.8.8 firefox -no-remote

Такой способ запуска полезен при работе с интернет-банками и любой важной информацией. Основная идея здесь в том, что, если твой основной браузер будет скомпрометирован с помощью вредоносного кода, который ты случайно подцепил на одном из развлекательных сайтов или установив не вызывающее доверия расширение, приватная песочница останется не затронута и банковский аккаунт будет в безопасности.

Ты можешь создать сразу несколько таких песочниц и использовать их для захода на разные сайты (здесь USER — это твое имя пользователя):

$ firejail --private=/home/USER/work firefox -no-remote & $ firejail --private=/home/USER/bank firefox -no-remote & $ firejail --private=/home/USER/other firefox -no-remote &

Эти команды запустят три инстанса браузера в отдельных песочницах. Первый ты будешь использовать для работы, второй для онлайн-банкинга, а третий для всего остального, не связанного с первыми двумя. Компрометация одной из песочниц не приведет к компрометации остальных.

В случае необходимости ты можешь даже ограничить ширину канала для запущенного в песочнице приложения. Например, следующая команда ограничит ширину входящего канала до 80 Кбайт/с, а ширину исходящего — до 20:

$ firejail --name=browser --net=eth0 firefox & $ firejail --bandwidth=browser set eth0 80 20

Все профили приложений Firejail хранит в каталоге /etc/firejail. Если тебе нужно создать профиль для приложения, не поддерживаемого Firejail, просто скопируй профиль похожего по функциональности приложения и измени его. Формат профиля интуитивно понятен. Правда, для фильтрации системных вызовов придется выяснить, какие из них использует приложение, а затем добавить в профиль. Как это сделать, описано в официальной документации.

Профиль для приложения в Firejail

3SANDBOX система изоляции приложений.

Если среди 95 профилей Firejail нет нужных тебе приложений, а идея писать профили самому не слишком тебя радует, то Sandbox — это твой выбор. Данный вид песочницы технически сильно отличается от двух уже описанных инструментов (он использует правила SELinux вместо seccomp и Namespaces), но в плане функциональности представляет собой нечто среднее.

Как и Mbox, Sandbox полностью отрезает приложение от внешнего мира, позволяя читать только stdin (то есть на вход запущенного в песочнице приложения можно передать данные другого приложения), а писать только в stdout (выводить данные на экран или перенаправлять другому приложению). Все остальное, включая доступ к файловой системе, сигналам, другим процессам и сети, запрещено. Простейший пример использования:

$ cat /etc/passwd | sandbox cut -d: -f1 > /tmp/users

Данная команда читает файл /etc/passwd, извлекает из него имена пользователей и записывает их в файл /tmp/users. Пользы от нее никакой, но она отлично демонстрирует принципы работы Sandbox. В песочнице запускается только команда cut, а сам файл /etc/passwd передается ей с помощью внешней команды. Вывод, с другой стороны, реализуется с помощью обычного перенаправления stdout.

Красота Sandbox в том, что с его помощью довольно легко расширить доступные приложению возможности. Например, ты можешь создать для него временные домашний каталог и каталог /tmp, передав команде всего один флаг:

$ sandbox -M mc

После завершения работы программы эти каталоги будут уничтожены, что весьма удобно при запуске не вызывающего доверия софта. Но что, если домашний каталог нужно сохранять между запусками (ну, допустим, для того, чтобы протестировать софт, работающий с множеством файлов)? Для этого достаточно создать каталог, который станет домашним для песочницы, и добавить еще одну опцию:

$ mkdir sandbox_home $ sandbox -M -H sandbox_home mc

Теперь у mc есть свой собственный домашний каталог, куда он может сохранять конфиги и откуда может читать файлы. Также Sandbox позволяет запускать графический софт (с помощью виртуального X-сервера Xephyr). Для этого достаточно передать еще один флаг:

$ sandbox -X -M -H sandbox_home gvim

Но и это еще не все. Sandbox имеет встроенные политики безопасности для запуска браузеров. Все, что нужно сделать, — выполнить такую команду:

$ sandbox -X -H sandbox_home -t sandbox_web_t firefox

Причем, как ты уже должен был понять, ты можешь использовать разные домашние каталоги для запуска разных сессий браузера или использовать «одноразовый» домашний каталог для походов по злачным местам. Еще один полезный флаг, о котором стоит упомянуть, — -w, с его помощью можно указать размер окна для графического софта. Он тебе определенно пригодится, так как динамически менять размер окна нельзя (это техническое ограничение Xephyr).

В целом Sandbox — очень удобный инструмент, единственная проблема которого — поддержка в дистрибутивах. Фактически прямо из коробки Sandbox работает только в Fedora, основанных на нем RHEL/CentOS и, возможно, в других дистрибутивах с активированным по умолчанию SELinux.

Сравнение песочниц ВЫВОДЫ

Запустить софт в песочнице довольно просто, и для этого можно использовать множество инструментов. В этой статье мы рассмотрели три из них.

  • Mbox отличается крайней простотой и идеален, когда необходимо контролировать то, к каким файлам приложение должно получить доступ.
  • Firejail подходит для создания сложных конфигураций и запуска почти сотни различных приложений, но не очень удобен, если нужного приложения нет в списке поддерживаемых.
  • Sandbox — прекрасный инструмент для запуска любых типов софта, но доступен только пользователям Fedora и основанных на нем дистрибутивов.

Какой из этих инструментов выбрать — решай сам. А в следующей статье мы окунемся с тобой в тонкости реализации песочниц и создадим ее собственными руками.

geekmaze.ru

Браузер в песочнице проблемы и решения ч.2 - Антивирусы и Firewall

Настройки Sandboxie В предыдущей статье мы научились создавать песочницы, настраивать их, теперь осталось настроить саму программу.В трее правой кнопкой мыши на значок - Показать окно - Далее на вкладке Настроить - Интеграция в проводник Windows -Запустить управление Sandboxie: можно снять галку с автозапуска вместе с системой, на работу программы это не повлияет, а чем меньше запускаемых процессов при старте - тем лучше. Оставляем галку на Когда запускается программа в песочницеЯрлыки: ставим галку на Добавить ярлык на рабочий стол для запуска браузера в Sandboxie - Добавить ярлык - появится окно запуска в котором нужно будет выбрать песочницу под которой будут запускаться программы, после которого всплывет маленькое окошко в котором нужно будет выбрать Программы - выпадет весь список программ установленных на компьютере, из которых можно выбрать те, которые будут постоянно запускаться в песочнице, в нашем случае это браузеры. Так можно создать ярлыки для всех браузеров и для любых программ. на рабочем столе созданные ярлыки будут отображаться с метками песочницы для которой мы создали ярлык. Выглядеть это будет так Действия запускать в песочнице: Добавить пункт в контекстное меню "запустить в песочнице" для файлов и папок - обязательно оставляем галочку, если нет, то ставимДобавить песочницы как пути назначения для меню отправить - галочку оставить.

Далее выходим в общие настройки Настроить - Совместимость программ.Обычно при установке песочница сама определяет ваш установленный антивирус и фаерволл и прописывает их в список совместимости, но если этого не произошло, то нужно добавить ваши программы защиты в список программ совместимости и поставить активную метку +

Редакция и блокировка конфигураций для опытных пользователей! Там ничего не трогать, особенно не пытаться редактировать конфигурации!

Далее на вкладке жмем на песочницу Установить папку для хранения: по умолчанию папка с песочницами хранится на диске С то есть на активном диске с системой, но папку с песочницами можно перенести на неактивный диск. Это полезно в том случае, если на системном диске у вас мало места, а предполагается через песочницы перегонять огромные файлы, так же это хорошо в случае падежа системы (шутка)

Проблемы в использовании песочниц и решения проблем

Начнем с начала. То есть с установки песочницы на компьютер. Как правило этот процесс проходит гладко, но могут быть моментыАллерт антивируса при установке: На компьютерах, где установлены антивирусы или фаерволы во время установки песочницы проактивная защита (режим обучения и режим эксперта) могут начать сигналить. Обычно это крики о том, что у нас считывают память и ворую пароли. Аллерты могут быть разными, но смысл один. Да, так и есть. Считывает, но не ворует. Например в вашем браузере есть сохраненные пароли, песочнице чтобы поднять точную копию вашего браузера со всеми богатствами нужно считать всё. То же самое относится к остальным программам где установлены пароли на автозапуск (частый пример - это аськи. скайпы и прочее с автологином)Ребут: хоть программа при установке ставит и запускает сама свой драйвер и сразу готова к работе, в некоторых случаях может требоваться перезагрузка системы. Даже если она не требуется полезно перезагрузитьсяБлокировка антивирусом вредоносного файла в песочнице: довольно неприятная ситуация но частая, когда вы скачали файл в песочницу, а ваш бравый антивирус посчитал его вредоносным и заблокировал прямо в песочнице. Самое главное в такой ситуации, не пытайтесь очистить содержимое песочницы, все равно не выйдет. Антивирус попав в зону с песочницей со своей деятельностью не даст удалить содержимого, так как песочница не может воздействовать на программы запущенные вне песочницы.Если вы хотите сохранить файл, то вам придется отключить файловый монитор в антивирусеСиний экран смерти и Fatal Errors: да. и такое возможно. Рассмотрим пример с браузером в песочнице. Вы скачали файл - инсталлятор или авторан. Все скачанные файлы браузером находятся в папке C:\Sandbox\User\dezire(имя песочницы)\drive\D (имя диска)\папка в которую идет закачка. Это папка виртуальная с ограниченными правами без выхода в систему. Это значит, что если вы попытаетесь запустить в этой папке инсталлятор или авторан, то вы получите синий экран смерти или Fatal Error. В папке закачки \drive\ вообще ничего запускать нельзя, это временный виртуальный контейнер. Зато из этой папки можно перетаскивать и копировать файлы на основной дискНе работает Копировать - Вставить: это плавающая проблема, которую нельзя воспроизвести просто так. Ёё можно только получить. Действительно перестает работать буфер обмена. Иногда перестает работать между песочницей и системой, а иногда в тяжелых случаях везде. В легких случаях может помочь сброс песочницы и содержимого. В тяжелых случаях когда кешируется на уровне системного кеша, помогает только перезагрузка. Проблема редкая, но неприятнаяНе очищается песочница: чаще всего бывает такое, когда некоторые компоненты или части программы ещё активны. Пример с браузером. Вы закрываете браузер, а окно с закачками так и валяется в трее. Пока не закроете окно программа не завершится, а очищение возможно только при завершение программы. Есть ещё нюанс со связями. Вы запустили из браузера в песочнице µTorrent, естественно инициированный браузером в песочнице µTorrent запускается тоже в песочнице. Если вы закроете браузер, а µTorrent оставите открытым, то песочница не будет очищена, так как работает программа в песочнице. Чтобы решить эти все проблемы смотрим настройки песочницы а именно Завершение программ: - Главные программы

Если вы столкнулись ещё с какими либо проблемами при использовании песочницы, то описывайте проблемы - найдем решения

Скачать и обсудить на форуме: https://webanetlabs.net/forum/25-144-1

Внимание: частичное или полное копирование данной статьи без активной ссылки на https://webanetlabs.net/ категорически запрещено!

webanetlabs.net

Браузер в песочнице настройки ч.1 - Антивирусы и Firewall

Sandboxie Версия 3.72

Способы применения. Настройки. Некоторые тонкости работы. Проблемы и решения проблем

Как это работает.После установки программы запускается системная служба SbieSvc, запускается с системой в автоматическом режиме. Служба SbieCtrl является пользовательской службой и запускается при запуске одной из песочниц. В итоге в диспетчере задач мы имеем два процесса.Запуская программы в Sandboxie вы запускаете программы в ограниченном "контейнере" содержимое которого после работы и удаления содержимого песочницы сбрасывается вместе со всеми файлами и всеми изменениями, которые произошли в эмулированной ограниченной среде программы которую вы запустили. При правильных настройках (о которых мы поговорим чуть ниже) программа запущенная в ограниченном контейнере не имеет вообще никакого взаимодействия ни с системой, ни с другими программами, а вот система и другие программы могут взаимодействовать с содержимым контейнера, что делает песочницу очень удобной и безопасной в работе.

Зачем запускать программы в песочницах?

Рассмотрим на самом легком примере - это запуск браузера в песочнице.Безопасность. Запуская браузер в песочнице, вы можете перестать бояться "наступить" на вредоносную ссылку, можете не опасаться попадания на сайты содержащие вредоносный код. Весь вредоносный код который мог бы повредить ваш браузер или попасть через последний в систему, так и останется в изолированном контейнере, и уйдет вместе со сбросом содержимого песочницы.

Конфиденциальность - куки, кеш, история посещений тоже могут быть сброшенными вместе с содержимым песочницы. То есть запуск в песочнице - это один из способов приватного серфинга.

Эксперименты с браузером. Настройки браузера - вещь иногда кропотливая и сложная. Если вы хотите изменить настройки браузера, но сомневаетесь в конечном успехе - то песочница то что вам надо. Если вы пользуетесь Mozilla Firefox и тяготеете к установке различных расширений и дополнений или просто хотите посмотреть как это работает, то не стоит экспериментировать с расширениями на основном браузере, можно примерить расширения на эмулированном. То же касается остальных браузеров и программ

Создаем песочницу

Для начала работы нужно создать песочницу. В системном трее есть значок так он выглядит, когда песочница работает, пустая песочница выглядит пустым жёлтым квадратиком. Правой кнопкой мыши на значок - Показать окно - в открывшемся окне Песочница - Создать новую песочницу - Окно для ввода имени песочницы - задаем имя и жмем ОК. Песочница создана.Зачем мы создали песочницу, если есть уже предустановленная песочница по умолчанию с именем DefaultBox? Дефолтная песочница имеет средний уровень настроек безопасности, что в некоторых случаях удобно и резонно в применении. Мы же с вами настроим песочницу - "тюрьму" с высоким уровнем безопасности. И иметь две песочницы в различными настройками и уровнями безопасности намного удобнее чем одну.

Настройки песочницы

В трее правой кнопкой мыши на значок - Показать окно - Песочница - Имя вашей песочницы (отсюда и далее Тest) - Настройки песочницы.

Поведение: Тут имеются три настройки оформленияИндикатор песочницы в заголовке окна индикатор лучше не снимать, выглядит он так . При интеграции в проводник Windows и при просмотре дисков из песочницы это очень полезно, дабы не путать режимы просмотраПоказывать имя песочницы в заголовке окна лучше не снимать заголовки, особенно если у вас много разных песочницОтображать границу вокруг окна вот это не обязательно, особенно если есть метки имен и метки индикатора. Эту настройку можно не ставитьВосстановление: Быстрое восстановление - Если вы скачиваете с помощью браузера файлы в интернете или вы хотите перемещать быстро доверенные файлы (например музыка mp3 или торрент файлы) из песочницы на основной диск, то во вкладке быстрое восстановление вам нужно задать папку или папки в которые у вас по умолчанию сохраняются файлы при скачивании. Например mp3 у вас скачивается в папку "музыка", а торрент файлы в папку "my torrent". Пропишите в быстром восстановлении пути к этим папкам и при закачке файлов данного типа вам будет предлагаться восстановление файлов в указанных папках и после сброса песочницы файлы останутся на диске в папках которых вы указали и не будут уничтоженыНемедленное восстановление: активируйте функцию, если хотите автоматический вызов восстановленияПримечание: перед восстановлением Sandboxie всегда вас будет спрашивать восстанавливать или нет и куда. С немедленным восстановлением будет спрашивать сразу после скачивания в указанную папку. Без - будет спрашивать перед уничтожением содержимого песочницы

Удаление:Предложение удаления: есть два пункта - Автоматически удалять содержимое песочницы и Никогда не удалять эту песочницу и не очищать её содержимое.В первом случае при закрытии программы запущенной в песочнице все содержимое будет удалено автоматически (кроме файлов подлежащих восстановлению). Во втором случае песочница со всем содержимым не будет удалена. Это особенно полезно когда требуется перезапуск программ с сохранением изменений.По умолчанию ставим на автоматическое удаление, если вдруг понадобится сохранить данные или песочницу с содержимым, то настройки можно изменить прямо во время работы песочницыКоманда удаления: оставляем без измененийГруппы программ: не задаем

Завершение программ:Медлительные программы: оставляем без измененийГлавные программы: если вы собираетесь запускать в песочнице несколько программ, то главной программой ставьте легкую и быструю программу. используется данная функция чаще всего для быстрого и форсированного сброса песочницыПеренос файлов: используется чаще всего для изолирования от модификаций, а так же модификаций программами в песочнице. функция для опытных пользователей

Ограничения:Доступ в интернет: по умолчанию стоит настройка доступа всех программ в интернет. В случае с браузерами это логично, но если вы собрались запускать другие программы в песочнице и хотите запретить доступ программам в интернет, то вам следует прописать список программ которым вы хотите дать доступ в интернет, остальные же программы не из списка, доступа в интернет не получат при запуске в этой песочницеДопуск на запуск и выполнение: по умолчанию все программы могут исполнятся в песочнице. Если вы пропишете список исполняемых программ, то остальные программы не смогут исполняться в этой песочнице (для опытных пользователей)Примечание: в обоих случаях речь может идти как о самих исполняемых файлах, так и об их компонентах

Забрать права: Одна из самых важных настроек песочницы. Обязательно ставим галочку на Забрать права у администраторов и других полномочных групп. После активации настройки все программы будут работать с ограниченными правами

Доступ низкого уровня и Аппаратные средства не трогаем и оставляем без изменений. По умолчанию отключено всё.

Доступ к файлам:Прямой доступ и Полный доступ оставляем без изменений. То есть все программы могут взаимодействовать с программами запущенными в песочнице. Настройки означают то, что программы запущенные в песочнице не получают доступа к программам в системе, а вот программы в системе могут иметь доступ к программам запущенным в песочнице, но в первом случае взаимодействие программ в песочнице будет невозможным, а во втором случае ограничения на взаимодействие запущенных программ в песочнице и указанных по умолчанию папок и файлов будет разрешено (для опытных пользователей)Блокировать доступ: по умолчанию все программы запущенные в песочнице не смогут взаимодействовать друг с другом и будут находиться в ограниченных средах. Так же эта настройка должна оставаться неизменной потому что она блокирует доступ программ запущенных в песочнице ко всем файлам и папкам на компьютереТолько для чтения: запрет модификации программами запущенными в песочнице. Настройку оставляем по умолчанию

Доступ к реестру:Прямой доступ, Заблокировать доступ, Только для чтения, все три настройки оставляем без изменений (для опытных пользователей)

Доступ к IPC, Доступ к окнам, Доступ COM оставляем без изменений (для опытных пользователей)

Приложения: Лучше всего оставить настройки по умолчанию на все пункты приложений, кроме пункта безопасность, где нужно выбрать средства защиты установленные на компьютере (такие как антивирус или фаервол) и менеджеры загрузки где тоже нужно выбрать и пометить установленные на компьютере

Примечание: после изменения любого параметра нужно всегда нажимать кнопку Применить для того чтобы изменения вступили в силу

Вспомогательные видеоматериалы:Браузер в песочнице - Создание песочницы и настройки

Браузер в песочнице - управление содержимым

Продолжение следует В следующей серии мы разберем настройки самого Sandboxie, а так же проблемы которые могут возникать при работе с программой и найдем решение этих проблем. Так же будут описаны некоторые тонкости и нюансы в работе с программой

Скачать и обсудить на форуме: http://webanetlabs.net/forum/25-144-1

Внимание: частичное или полное копирование данной статьи без активной ссылки на http://webanetlabs.net/ категорически запрещено!

webanetlabs.net

Это Вы Можете!: Sandboxie-программа песочница

песочницаSandboxie является условно-бесплатной программой для запуска приложений в виртуальной (защищённой) среде. Песочница Sandboxie позволяет запускать заведомо опасные или неизвестные программы без риска для операционной системы.

Работая в песочнице программа не может получить доступ ни к системному реестру, ни к файлам. Таким образом она не может внести никаких изменений в системе, которые могут напрямую или косвенно нарушить её работу. Все изменения программа через свой специальный драйвер перенаправляет в виртуальное окружение, эмулирующее реальную ОС.

Открыв браузер в песочнице  можно вполне  безопасно гулять по различным соцсетям, неизвестным форумам, блогам, варезникам, порносайтам, открывать неизвестные офисные документы, файлы из интернета. В общем везде где можно в два счёта подхватить какой нибудь вирус ваш компьютер защитит Sandboxie.

Полезна программа и для любителей исследовать известные программы известных разработчиков. Ведь зачастую по описанию трудно определить: насколько эта программа нужна вам лично. Знакомишься- вроде нужная программа, а скачаешь- оказывается не очень то и нужна, начинаешь удалять.

На реестр, и в последующем скорость работы компьютера, это влияет не лучшим образом. Поэтому запустив и поработав с такой программой в песочнице можно решить: стоит ли её устанавливать. В случае если программа по каким либо причинам не подошла можно удалить её, не оставляя никаких хвостов на компьютере.

Как уже говорилось выше, программа условно-бесплатная. В течении тридцати дней идёт полнофункциональная пробная версия в которой можно создавать сколько угодно песочниц. Однако  программа продолжает работать и после истечения тестового периода. Только начинает отображать окно, где предлагает перейти на платную версию (которая стоит около 15 евро) и дает возможность работать только с одной песочницей. В принципе, если платить не хочется, хватит и одной песочницы. А в интернете можно запросто найти и крякнутую программу, но это на ваше усмотрение.

Sandboxie

 

При первом запуске программа откроет краткое руководство по работе с ней. В настройках  для каждой вкладки есть свои подсказки, поэтому разобраться просто. Можно даже оставить всё по умолчанию, увеличив лишь размер во вкладке перенос файлов. По умолчанию стоит 48мБ можно увеличить до 4-5гБ, тогда можно будет пробовать программы больших размеров. Файлы больше выставленного здесь размера не будут переноситься в песочницу.

Наглядным примером работы в защищенной среде может быть следующий опыт:

В любом редакторе создайте тестовый документ. Напишите к примеру известное всем Helloy Word! Сохраните его как test.txt например, а затем откройте в песочнице Sandboxie. Кстати все файлы, запущенные в песочнице, будут выделены жёлтой рамкой если подвести курсор к верхней границе окна ( цвет так же можно изменить в настройках, если не нравится желтый).

После того как открыли созданный документ в песочнице, попробуйте изменить его: удалите Helloy Word! и напишите Привет Мир! (или что угодно другое). Сохраните его в песочнице в том же месте и с тем же именем, закройте.

Теперь открывайте файл вне песочницы: он остался прежним Helloy Word!  Для чистоты эксперимента снова откройте этот же файл в песочнице: в нём Привет Мир!

И только вы решаете удалить его из песочницы без всякого влияния на файлы хранящиеся на компьютере, или позволить изменить хранящийся там файл.

Точно так же происходит работа Sandboxie с системным реестром. Вредоносное действие любой программы, запущенной в песочнице сводится к нулю т.к. все изменения действуют только в рамках песочницы, сами же файлы остаются не тронутыми.

Здесь всё же нужно помнить о том, что запуская в песочнице зараженную программу или файл, вы естественно каждый раз запускаете вместе с ней и находящийся там вирус. Поэтому важно регулярно очищать вашу песочницу, таким образом удаляя все изменения файлов. После чего файлы песочницы становятся идентичными оригинальным файлам.

Постоянно должны работать в песочнице: почтовые клиенты, браузеры, программы мгновенных сообщений и т.д. То есть программы имеющие выход в интернет и представляющие из себя плацдарм для возможных сетевых атак. Запустиь программу в песочнице можно щелкнув по названию песочницы правой кнопкой и в выпадающем списке вкладки запустить в песочнице выбрать нужную программу( см. скриншот выше). Можно щелкнуть правой кнопкой по ярлыку программы и выбрать в выпадающем списке запустить в песочнице.

Для автоматического запуска программ в песочнице  в настройках нужно выбрать запуск программы-форсированные программы. Здесь жмем кнопку добавить программы и выбираем из списка или добавляем свои. Создав

Sandboxie настройки

 

список программ больше не нужно заботиться о создании дополнительных ярлыков. Эти программы всегда будут запускаться в песочнице. Это самый простой способ, однако доступен он только в зарегистрированной версии.

В незарегистрированной версии Sandboxie настройки немного сложней. Здесь нужно выбрать (создать) ярлык нужной программы и во вкладке свойства дописать перед самим путём  C:/Program Files/Sandboxie/Start.exe 

Например если в свойствах ярлыка скайпа путь указан как C:\Program (x86)\Skype\, то нужно  будет сделать C:/Program Files /Sandboxie/Start.exe C:\Program (x86)\Skype\

В завершении статьи хочется обратить внимание: во вкладке доступ к ресурсам никогда не разрешайте  полный доступ иначе просто пропадает смысл использования песочницы. Даже прямой доступ к неисполняемым файлам нужно использовать с осторожностью, поскольку, хоть это и удобно для скачивания, скачиваемый файл может оказаться исполняемым.

Скачать с официального сайта Sandboxie Версия с ключом Sandboxie

 

programtest.ru

Sandboxie песочница

песочница sandboxieБороздя просторы Интернета, больше всего нам хотелось бы чувствовать себя в безопасности. Кстати, по статистике около половины посещаемых пользователями сайтов являются зараженными. Неужели, вам не надоели уже эти вирусы, шпионы и прочее вредоносное программное обеспечение.

А ведь, чтобы избавиться от них, приходиться тратить на них свое время, нервы, а иногда и деньги. Пришло время, раз и навсегда покончить с этим.

Хотите узнать как? Тогда пора познакомить вас с возможностями «песочницы»…

Почему именно “песочница”?

Сегодня можно услышать множество советов относительно того, как защитить себя в Интернете: от использования современного программного обеспечения, в котором закрыты все известные уязвимости (например, на базе Linux), и до установки на ПК надежного комплекта ПО для обеспечения безопасности (Антивирусник + Брандмауэр).

Однако, бывают такие случаи, когда антивирусник не уверен на 100% в запускаемом приложении или открываемой странице в Интернете, и тогда антивирусное ПО спрашивает “разрешение” у пользователя. А пользователь, как правило, надеясь на лучшее, разрешает запуск подозрительной программы, запускает вместе с тем и вредоносный код.

“И что же делать?” – спросите вы. Неужели из-за страха подхватить вирус, нам придется отказаться от запуска новых приложений и от свободного плавания по просторам Интернета? Конечно же нет! Существует отличное дополнение к рекомендованным сайтом www.pc4me.ru средствам защиты компьютера от проникновения вирусов. Речь идет о работе с приложениями в «песочнице».

что такое “песочница”?

песочница sandboxie«Песочница» – это виртуально созданная изолированная среда, для которой отводится специальное пространство на жестком диске (небольшое по размерам) и которая не имеет доступа к вашей операционной системе (в том числе и реестру).

Запустив какую-либо программу в «песочнице», она будет работать так же, как обычно. Однако не сможет оказать влияние на любые компоненты и файлы, расположенные за пределами этой изолированной среды. То есть другими словами, запущенная в «песочнице» программа не сможет внести изменения в системный реестр или файлы ОС, или любым другим способом повлиять на стабильность работы системы.

Именно поэтому «песочницу» рекомендуют использовать для безопасной работы в Интернете и для запуска неизвестных приложений.

что такое sandboxie?

Одной из программ, реализующих такую виртуальную защитную среду, является утилита Sandboxie, которая бесплатна, проста и интуитивно понятна.

Sandboxie непрерывно следит за запущенными в “песочнице” программами и переадресует всю их работу с файлами в специально созданную виртуальную среду. Все изменения файлов этими программами действуют только в пределах “песочницы”, а вне нее файлы остаются без изменений. Ниже представлен алгоритм работы “песочницы” Sandboxie.

песочница sandboxie

  • • Пустое пространство
  • • Widows,программные файлы и документы
  • • Новое содержание
  • • Песочница

Движущаяся красная стрелка эмитирует изменения, производимые запущенной программой на вашем компьютере. Верхняя часть рисунка показывает ситуацию работы жесткого диска при отсутствии песочницы. Рисунок в нижней части отображает ситуацию, когда исполняемая программа запущена в виртуальной среде Sandboxie.

Как видно из картинки, “песочница” Sandboxie перехватывает все изменения, вносимые программой, и изолирует их в специально созданной зоне (“песочнице” – желтый прямоугольник).

Точно также Sandboxie осуществляет работу и с системным реестром. Вредоносный код представляет собой опасность, только когда «проникает в систему». Если этот код останется в пределах песочницы, то его вредоносное действие будет сведено к нулю.

Преимущества работы в песочнице
  • Безопасный веб-серфинг: запустив веб-браузер в “песочнице”, вы 100% защищаете систему от проникновения вредоносного кода.
  • Защищенная электронная почта: вирусы и другие вредоносные программы, которые могут скрываться в вашей электронной почте не могут вырваться из песочницы и не могут заразить вашу реальную систему.
  • Защита операционной системы: установка подозрительных программ в изолированной среде не позволит внести изменения в системные файлы и реестр.
Как запустить программу в “песочнице”?

После установки программы Sandboxie кликните правой кнопкой мыши по ярлыку программы, которую желаете запустить (например, браузер Google Chrome), в выпадающем меню выберете “Запустить в песочнице”.

Zapusk-progi-v-pesochnitse

Как вы уже поняли, “песочница” является мощнейшим инструментом для поддержания безопасности вашего компьютера. Скачать Sandboxie можно с официального сайта.

Кроме Sandboxie существует много других альтернатив, платных и бесплатных. Я пользуюсь «песочницей», встроенной в “Kaspersky Internet Security 2012”.

pc4me.ru


 

..:::Новинки:::..

Windows Commander 5.11 Свежая версия.

Новая версия
IrfanView 3.75 (рус)

Обновление текстового редактора TextEd, уже 1.75a

System mechanic 3.7f
Новая версия

Обновление плагинов для WC, смотрим :-)

Весь Winamp
Посетите новый сайт.

WinRaR 3.00
Релиз уже здесь

PowerDesk 4.0 free
Просто - напросто сильный upgrade проводника.

..:::Счетчики:::..