Безопасный запуск приложений с помощью песочницы firejail

Игры с песочницей. Выбираем простое и быстрое решение для изоляции приложений — «Хакер»

Содержание статьи

  • Вместо введения
  • Mbox
  • Firejail
  • Sandbox
  • Выводы

Наверняка хоть раз в жизни тебе приходилось иметь дело с не вызывающими доверия приложениями и скриптами, которые могли навредить системе.

Или ты хотел запустить браузер в максимально изолированном окружении, чтобы в случае его взлома твоей системе ничто не угрожало.

Сегодня подобные задачи принято решать с помощью вездесущего Docker, однако есть масса гораздо более простых и удобных инструментов для быстрого запуска приложений в песочницах.

Задолго до того, как идея Docker зародилась в головах его создателей, появился проект LXC (LinuX Containers).

Он был основан на все тех же технологиях разделения пространств имен (Linux Namespaces) и точно так же позволял создать минималистичное замкнутое на себя окружение исполнения (песочницу, контейнер) для запуска сервисов или небезопасных приложений.

Однако LXC не был столь дружелюбным к новым пользователям и не обладал фишками Docker вроде слоеной файловой системы, возможности быстро выкачать и запустить уже готовое приложение и конфигами для автоматической сборки окружений.

Намного раньше во FreeBSD появилась технология jail, позволяющая создавать песочницы, подобные chroot, но с акцентом на более глубокий уровень изоляции. Долгое время jail была гордостью FreeBSD и даже послужила прообразом для технологии Solaris Zones.

Однако сегодня она уже не может обеспечить тот уровень гибкости и управления ресурсами, которые предлагают LXC и Docker, так что в целом jail оказалась на обочине истории. Сегодня песочницы в Linux можно создавать множеством разных способов.

Это и уже упомянутые LXC и Docker с их пространствами имен, это механизм seccomp, используемый Chrome для изоляции вкладок и плагинов, это технологии SELinux/AppArmor, позволяющие тонко регулировать доступ приложения к чему бы то ни было.

В этой статье мы познакомимся с самыми удобными для обычного пользователя инструментами, которые лучше всего подходят для решения повседневных задач, таких как:

  • запуск не вызывающего доверия приложения, способного навредить системе;
  • изоляция браузера, email-клиента и других приложений, чтобы их взлом не привел к утечке данных;
  • запуск «одноразовых» приложений, которые не должны оставлять следов в системе.

Начнем с одной из самых простых песочниц. Mbox — не совсем стандартный инструмент изоляции, он не урезает полномочия запущенного приложения, не выполняет виртуализацию сетевого стека и не имеет каких-либо настроек. Единственная задача Mbox — сделать так, чтобы приложение не смогло ничего записать в файловую систему.

Для этого он создает специальную виртуальную ФС, на которую перенаправляет все запросы ввода/вывода.

В результате под управлением Mbox приложение работает как ни в чем не бывало, однако в ходе его работы ты получаешь возможность применить или отвергнуть те или иные изменения виртуальной файловой системы к файловой системе реальной.

Лучше всего эту концепцию демонстрирует пример с официальной страницы Mbox:

Источник: https://xakep.ru/2016/07/22/sandbox-games/

Firejail — безопасный запуск потенциально уязвимых приложений

В наше неспокойное время пользователей всё больше беспокоит вопрос безопасности своей системы. Очень многие люди в первую очередь переходят на открытое и свободное ПО.

Для дополнительной защиты многие применяют различные средства, от запуска браузеров и прочих потенциально уязвимых программ в виртуальных машинах и контейнерах, до создания изолированного окружения и написания политик безопасности. Несомненно, каждый способ хорош по своему, у каждого из них есть достоинства и недостатки.

Сегодня я расскажу об одной маленькой, но крайне интересной утилите Firejail.

Firejail запускает приложения в режиме sandbox-изоляции, формируемом при помощи механизма пространств имён (namespaces) и фильтрации системных вызовов (seccomp-bpf) в Linux.

Утилита оформлена в виде исполняемого SUID-файла, который может использоваться в качестве прослойки для запуска различных консольных, серверных и графических приложений. Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission.

После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си и может работать в любом дистрибутиве Linux с ядром старше 3.0.

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа — состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения.

При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

Также к программе создаётся простая графическая утилита для настройки, написанная на Qt, в которой можно просто и буквально на лету менять различные правила. Пакеты для различных дистрибутивов можно скачать на этой странице.

В Debian Firejail доступна с выпуска Debian 9 Stretch, который сейчас является тестируемым. Но не беда — я собрал программу и дли Debian 8, в моём репозитории. В Ubuntu 15.10 и 16.04 она доступна в штатных репозиториях. Итак, установка в Debian 8/LMDE 2:

sudo nano /etc/apt/sources.list

Подключаем репозиторий:

deb http://download.opensuse.org/repositories/home:/Sunderland93/Debian_8.0/ /

Скачиваем и устанавливаем ключ репозитория:

wget http://download.opensuse.org/repositories/home:Sunderland93/Debian_8.0/Release.key && sudo apt-key add — < Release.key

Обновляем список пакетов и устанавливаем Firejail:

sudo apt-get update

sudo apt install firejail

Всё. Теперь попробуем запустить, например Firefox, в изолированном контейнере:

firejail —seccomp firefox

В Firejail еще имеется специальный приватный режим. В этом режиме все файлы созданные приложением удаляются сразу-же после его закрытия. Войти в приватный режим очень просто:

firejail —seccomp —private firefox

По умолчанию, Firejail блокирует доступ только к некоторым особо серьёзным директориям (.gnupg, .ssh). Firefox, даже запущенный командой выше, будет иметь доступ ко всему домашнему каталогу. Чтобы заключить Firefox в его отдельном, личном каталоге (дабы не лез куда не просят), сделайте следующее: Создадим каталог для файла конфигурации и «тюрьму» для Firefox:

mkdir ~/firefox

mkdir ~/.config/firejail -p Скопируем конфиг:

cp /etc/firejail/firefox.profile ~/.config/firejail

И добавить параметр в этот конфиг:

echo «private ${HOME}/firefox» >> ~/.config/firejail/firefox.profile

Чтобы Firefox запускался по умолчанию в этой песочнице:

sudo su

echo «firejail —seccomp /usr/bin/firefox $@» > /usr/local/bin/firefox
chmod +x /usr/local/bin/firefox Вот и всё. Такое можно проделывать и с другими приложениями. Информацию об опциях как обычно можно получить используя команду man:

man firejail

Ссылки:

Официальный сайт

Репозиторий исходного кода на GitHub
Репозиторий исходного кода утилиты Firetools на GitHub

Источник: http://linuxoidblog.blogspot.com/2016/02/firejail.html

Изолируйте ненадежные приложения с помощью Firejail

Библиотека сайта rus-linux.net

Оригинал: Lock Up Your Untrusted Applications in Firejail Автор: Jack Wallen Дата публикации: 17 июня 2016 г. Перевод: А.Панин

Дата перевода: 17 декабря 2016 г.

Узнайте о том, как устанавливать и использовать утилиту Firejail для активации дополнительного уровня защиты системы.

Хотя ядро Linux является и достаточно безопасной частью экосистемы Linux, этого же нельзя сказать о каждом исполняющемся с его участием приложении.

Вам может понадобиться кустарное приложение, безопасность которого не была проверена (хотя оно и является незаменимым), вы можете найти нужное приложение на стороннем веб-сайте или запускать различные приложения на машине, предполагающей высочайший уровень безопасности. Что же делать в подобных случаях?

Именно для подобных случаев в Linux реализован механизм изоляции приложений. Этот механизм предназначен для запуска ненадежных приложений с ограничением возможностей их окружений исполнения. По сути, приложение будет запускаться в рамках «песочницы», с доступом к ограниченному и четко контролируемому пользователем набору ресурсов.

Звучит немного путано? Можете верить или не верить, но существует программный компонент, значительно упрощающий запуск приложений в изолированных окружениях в Linux.

Это утилита с именем , которая выступает в роли бинарного файла с битом SUID (Set owner User ID upon execution — бит установки идентификатора владельца бинарного файла в качестве идентификатора пользователя в момент исполнения) и сокращает риски, связанные с эксплуатацией проблем безопасности приложений.

Firejail позволяет запускать в изолированном окружении приложения любого типа, будь то приложение для сервера или для настольного компьютера. Она содержит набор профилей для различных приложений для Linux и позволяет создавать ваши собственные профили, специфичные для отдельных приложений.

Существует даже графический интерфейс для Firejail под названием Firetools, который позволяет запускать приложения в изолированном окружении и активируется с помощью иконки в системном трее; кроме того, он позволяет редактировать параметры окружения исполнения приложений, управлять приложениями и собирать статистические данные.

Примечание: описанный механизм интеграции с системным треем может быть не совместим со всеми окружениями рабочих столов.

Обладая данной информацией, вы можете начать знакомство с методикой установки и использования Firejail и Firetools.

Установка программного обеспечения

Я буду демонстрировать процесс установки Firejail и Firetools на примере дистрибутива Ubuntu GNOME 16.04. Данная процедура не должна отличаться в случае использования любого основанного на Ubuntu дистрибутива. Для установки упомянутых программных компонентов в другом дистрибутиве вам придется немного изменить приведенные команды (к примеру, использовать dnf вместо apt-get).

В первую очередь предлагаю установить Firejail. Так как данная утилита доступна из стандартного репозитория дистрибутива, процесс ее установки является предельно простым. Просто выполните следующую последовательность действий:

  1. Откройте окно терминала
  2. Выполните с помощью него команду sudo apt-get install firejail
  3. Введите свой пароль и нажмите клавишу Enter
  4. В случае вывода соответствующего запроса, введите «y», согласившись тем самым с продолжением процесса установки
  5. Позвольте процессу установки программного обеспечения корректно завершиться

Теперь давайте приступим к установке приложения Firetools. Вы не найдете его в стандартных репозиториях дистрибутива. Однако, разработчик разместил пакеты программного обеспечения формата .deb на официальном веб-сайте проекта. Для установки такого пакета в систему вам придется выполнить следующую последовательность действий:

  1. , соответствующий архитектуре вашей операционной системы (32 или 64-битной)
  2. Откройте окно терминала
  3. Перейдите в директорию «Загрузки» с помощью команды cd ~/Загрузки
  4. Выполните команду sudo dpkg -i firetools*.deb
  5. Введите ваш пароль и нажмите клавишу Enter
  6. Позвольте процессу установки программного обеспечения корректно завершиться

Вполне вероятно, что в процессе установки будет выведено сообщение об ошибке, связанное с отсутствующими в системе зависимостями пакета программного обеспечения. В этом случае вам придется либо использовать команду sudo apt-get install -f, либо вручную установить все необходимые пакеты программного обеспечения, после чего приложение Firetools будет готово к использованию.

Использование утилиты Firejail

Для начала давайте воспользуемся интерфейсом командной строки утилиты Firejail. Разработчики сделали ее интерфейс командной строки максимально простым. К примеру, предположим, что вам нужно запустить веб-браузер Firefox в изолированном окружении с помощью Firejail.

Для этого достаточно открыть окно терминала и выполнить с помощью него команду firejail firefox.

После запуска приложения вы сможете без труда обнаружить, что силами Firejail был создан дочерний процесс и веб-браузер Firefox, окно которого было отображено, исполняется в изолированном окружении (Рисунок 1).

Просто, не так ли?

Рисунок 1: Веб-браузер Firefox, исполняющийся в рамках изолированного окружения, созданного силами Firejail.

Одна особенность, на которую вы наверняка обратите внимание, заключается в том, что исполняющиеся в рамках изолированного окружения Firejail приложения не имеют доступа к вашим файлам (это сделано умышленно).

Например, если вы запустите веб-браузер Firefox с помощью Firejail и попытаетесь загрузить с помощью него на веб-сайт графический файл из директории «Изображения», вы не сможете сделать этого.

Любое приложение, исполняющееся в рамках изолированного окружения, не имеет неограниченного доступа к произвольным файлам и директориям.

Для завершения работы приложения, запущенного с помощью Firejail, достаточно просто закрыть его окно точно таким же образом, как и при обычном запуске.

Firejail работает с профилями приложений. В комплект поставки данной утилиты уже включен набор профилей популярных приложений, а также стандартный профиль с множеством ограничений.

В том случае, если Firejail не найдет профиля для переданной команды, она запустит приложение со стандартным профилем.

Вы можете создать собственный профиль приложения, выполнив следующую последовательность действий:

  1. Откройте окно терминала
  2. Выполните с помощью него команду mkdir -p ~/.config/firejail
  3. Перейдите в только что созданную директорию
  4. Скопируйте файл стандартного профиля в эту директорию с помощью команды cp /etc/firejail/generic.profile ~/.config/firejail/.profile (здесь вместо строки следует использовать реальное имя приложения)
  5. Отредактируйте созданный файл профиля приложения в соответствии со своими потребностями
Читайте также:  Flowblade - многофункциональный нелинейный редактор видео для linux

Стандартный профиль приложения выглядит аналогичным образом:

Предположим, к примеру, что вам нужно закрыть для приложения доступ к директории «Документы» из вашей домашней директории. Для этого следует добавить следующую директиву в только что созданный файл профиля:

blacklist ${HOME}/Документы

Примечание: вы также можете использовать полный путь к необходимой директории аналогичным образом:

blacklist /home//Документы

Здесь вместо строки следует использовать реальное имя пользователя.

Теперь предположим, что приложению требуется доступ к определенной директории, но вы хотите разрешить ему лишь читать данные из этой директории. Вы можете реализовать подобный механизм с помощью данной директивы:

read-only ${HOME}/Документы

Для получения информации о том, что еще можно сделать с созданным профилем приложения, следует выполнить команду man firejail-profile. Данная команда позволяет отобразить страницу руководства со списком других директив, которые могут использоваться в новом профиле приложения.

Использование приложения Firetools

Давайте рассмотрим методику использования графического интерфейса Firejail под названием Firetools. Для запуска этого приложения следует выполнить с помощью окна терминала команду firetools &.

В результате вы должны будете обнаружить две вещи: окно приложения Firejail и его иконку в системном трее.

В GNOME 3 системный трей расположен в левом нижнем углу экрана, причем он скрыт по умолчанию, но после открытия позволяет получить доступ к графическому интерфейсу приложения Firetools (Рисунок 2).

Рисунок 2: Окно Firetools и значок в открытом системном трее GNOME 3.

Несколько приложений уже должно быть добавлено в меню запуска Firetools. Для запуска приложения из меню вы можете либо воспользоваться двойным кликом мыши над его значком, либо нажать на правую кнопку мыши и выбрать пункт контекстного меню «Run».

Firetools позволяет осуществлять мониторинг состояния приложений, запущенных с помощью Firejail. Для открытия окна монитора достаточно открыть окно Firetootls, воспользоваться правой кнопкой мыши над ним и выбрать пункт меню «Tools».

После открытия окна монитора вы увидите список всех исполняющихся с участием Firejail приложений (Рисунок 3).

Рисунок 3: Идентификаторы, имена и параметры всех процессов, исполняющихся с участием Firejail.

Для добавления нового приложения в меню запуска Firetools следует воспользоваться правой кнопкой мыши над его окном и выбрать пункт контекстного меню «Edit».

С помощью нового окна (Рисунок 4) следует ввести параметры интересующего вас приложения. В поле ввода команды (Command) необходимо использовать префикс firejail.

Например, для добавления в меню запуска приложения KeePassX следует ввести команду «firejail keepassx».

Рисунок 4: Добавление нового приложения в меню запуска приложений Firetools.

Незаменимая утилита для людей, заботящихся о безопасности своих данных

Если вам нужно запускать стандартные приложения в изолированных рабочих окружениях, утилита Firejail будет, пожалуй, самым простым вариантом решения задачи.

Firejail является дружелюбной и надежной утилитой, не позволяющей ненадежным приложениям получать доступ к важным данным, которые хранятся в вашей системе.

Попытайтесь самостоятельно оценить ее пригодность для защиты ваших данных в процессе работы со сторонними приложениями в Linux.

Если вам понравилась статья, поделитесь ею с друзьями:

Источник: http://rus-linux.net/MyLDP/sec/firejail.html

Как запустить браузер Firefox в песочнице с помощью Firejail

Веб-браузер является одним из самых используемых программ. С помощью него мы посещаем сайты, а порою и открываем огромное количество вредоносных скриптов и сайтов даже не подозревая об этом.

Например, недавно было обнаружено, что один из российских онлайн рекламных сервисов использовал эксплоит в Firefox чтобы искать и загружать им на сервера сенситивные файлы.

Если пользуетесь Linux и думаете что вам боятся нечего, то спешу вас огорчить, этот эксплоит работал и в Linux. При этом, если вы пользуетесь Linux-ом, то они крали такие директории и файлы как: /etc/passwd, .purple, .pgsql_history, .ssh, .

filezilla и т.д. К счастью, начиная с Firefox 42 проделать это вроде-бы уже невозможно.

Как можно предотвратить подобную проблему вообще? Легко — просто запускайте браузеры и другие приложения, которые подключаются к интернету через песочницу. Одна из самых легких утилит для запуска программ в песочнице — это Firejail.

Установка Firejail в Debian/Ubuntu/Linux Mint

Первым делом скачать Deb-пакет с официального сайта:

Firejail 64-bit | Firejail 32-bit

После завершения скачивания, вы можете установить Firejail, путем запуска команды:

Для 64-разрядной ОС:

sudo dpkg -i ~/Downloads/firejail_0.9.32_1_amd64.deb

Для 32-разрядной ОС:

sudo dpkg -i ~/Downloads/firejail_0.9.32_1_i386.deb

Как пользоваться Firejail на примере Firefox

Пользоваться Firejail очень легко — всё, что вам нужно сделать для запуска программы в песочнице — это запустить его командой:

firejail —seccomp firefox

В Firejail еще имеется специальный приватный режим. В этом режиме все файлы созданные приложением удаляются сразу-же после его закрытия. Войти в приватный режим очень просто:

firejail —seccomp —private firefox

Как закрыть приложению доступ ко-всей файловой системе

По-умолчанию Firejail блокирует доступ браузерам только к основным директориям как: ~/.ssh, ~/.gnupg и т.д. Проблема в том, что иногда этого недостаточно. Зачем давать браузеру полный доступ к домашней директории?

И тут на помощь приходит специальная директива конфигурации: private. С помощью него можно заточить определенное приложение в определенную директорию. Из-за этого ваше приложение сможет получить доступ только к тем ресурсам, которые находятся в той директории.

Для того, чтобы проделать этот «трюк», вам нужно сперва скопировать дефолтный Firejail-профайл:

mkdir ~/.config/firejail -p
cp /etc/firejail/firefox.profile ~/.config/firejail

Затем добавить в этот файл директиву profile:

echo «private ${HOME}/firefox» >> ~/.config/firejail

С помощью этой конфигурации, вы заточите Firefox в папке ~/firefox. Кстати, это папку вам нужно создать вручную:

mkdir ~/firefox

Как запускать Firefox в песочнице по-умолчанию

Набирать каждый раз в терминале firejail —seccomp firefox может быть очень утомительно. Для того, чтобы не делать это, вам нужно запустить следующие команды:

sudo su
echo «firejail —seccomp /usr/bin/firefox [email protected]» > /usr/local/bin/firefox
chmod +x /usr/local/bin/firefox
exit

Имейте в виду, что с помощью Firejail вы можете запускать в песочнице не только Firefox, но и другие приложения.

Источник: https://geeksmagazine.org/post/420/kak-zapustit-brauzer-firefox-v-pesochnitse-s-pomoschyu-firej

Песочница программ Linux

Даже в операционной системе Linux мы можем доверять не всем программам. Иногда нужно понаблюдать за тем, как они будут вести себя в системе. Также в некоторых случаях нужно больше безопасности, например, когда вы хотите открыть подозрительный сайт, зайти на сайт, где не нужно разглашать ваши конфиденциальные данные или воспользоваться своим банковским счетом в интернете.

В каждом из перечисленных случаев будет полезной песочница linux. Конечно, идеальное решение для изоляции программ в Linux — это виртуальные машины или контейнеры, но не всегда есть время и знания их настраивать, а простая песочница предоставляет легкое и быстрое решение.

Идея заключается в том, чтобы ограничить приложению доступ к вашей системе, личным данным, файлам и другой информации. Программа будет работать только в изолированном окружении. В операционной системе Windows есть утилита Sandboxie, которая реализует такую функциональность.

Но в Linux есть альтернатива Sandboxie — FireJail.

Принцип работы FireJail в использовании отдельных пространств имен для процессов, фильтрации системных вызовов ядра и использование отдельных ресурсов ядра, таких как таблицы и сетевой стек. В этой статье мы рассмотрим как выполняется установка и настройка песочницы firejail в Linux. А также поговорим о том, как использовать программу.

Установка FireJail

Утилита есть в официальных репозиториях большинства дистрибутивов, поэтому для установки вам будет достаточно выполнить несколько команд. Если вы используете Debian или Ubuntu просто выполните:

sudo apt install firejail

После завершения установки утилита будет готова к работе. В дистрибутивах Fedora, CentOS или других из семейства Red Hat команда установки будет выглядеть вот так:

sudo yum install firejail

Программа имеет только интерфейс командной строки, но вы можете установить для нее графический интерфейс. Графического интерфейса в официальных репозиториях нет, поэтому придется скачать файл из официального сайта.

Выберите установщик для своей системы, если у вас Debian, Ubuntu, Linux Mint нужно скачивать файл формата deb, Например, для архитектуры x64 имя файла будет выглядеть вот так — firetools_0.9.40.1_1_amd64.deb.

После завершения загрузки откройте терминал и перейдите в папку с загрузками с помощью такой команды:

cd ~/Загрузки/

Затем, для установки пакета выполните:

sudo dpkg -i firetools*.deb

После этого утилита firetools для управления песочницей Linux будет доступна в главном меню системы.

Использование песочницы Linux

Чтобы запустить любую программу в песочнице достаточно просто передать имя исполняемого файла утилите firejail. Например, для запуска Firefox выполните:

firejail firefox

Но перед тем как запускать программу таким способом нужно закрыть все открытые сейчас вкладки, иначе программа не запустится, а только откроется новая вкладка. Для веб-браузера Chromium команда похожая:

firejail crhomium-browser

Запущенная программа может получить доступ только к некоторым необходимым директориям с настройкам и папке загрузок. Доступа к файловой системе или других папках вашего домашнего каталога нет. Вы можете попытаться открыть домашнюю папку в браузере:

Как видите, здесь нет многих файлов и папок, которые на самом деле есть в домашней папке. Если вы попытаетесь получить доступ к запрещенному файлу, то получите сообщение, что его нет:

Настройка прав доступа

Иногда нужно дать приложениям минимум возможностей в системе, например, полностью запретить доступ к домашней папке. Для этого можно использовать опцию —private:

firejail chromium-browser —private

Эта команда полностью ограничит приложение, программа запустится с чистым профилем и не сможет писать файлы в домашнюю папку из-за приватного режима sandbox linux.

Использование графического интерфейса

Если вам больше нравиться использовать графический интерфейс вместо командной строки, вы можете использовать графический фортэнд для FireJail — Firetools. Вы можете запустить утилиту через главное меню или терминал:

Дальше достаточно выполнить двойной клик по любому уже настроенному приложению в окне песочницы и оно будет запущено. По умолчанию доступны Firefox и VLC. Если вы хотите добавить программу вызовите контекстное меню и нажмите Edit:

Источник: https://losst.ru/pesochnitsa-programm-linux

Как использовать «песочницу» на компьютере в Windows — Sandboxie / Заметки Сис.Админа

Доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности.

Помимо всяческих антивирусов, фаерволлов, ловушек, носкриптов, ублоков и кучи разношерстных настроек, среди элементов безопасности бытуют такие штуки как «песочницы», а т.к Вы давно просили статью об этом, то мы решили кратенько затронуть эту тему.

По сути «песочница» представляет собой изолированную программную среду с жестко ограниченными ресурсами для выполнения в рамках этой среды программного кода (говоря просто, — запуска программ). В некотором роде «песочница» это такая себе урезанная виртуализация, предназначенная для изоляции сомнительных процессов в целях безопасности.

Некоторая часть хороших антивирусов и фаерволлов (правда, как правило, в платном своём варианте) используют этот метод без Вашего ведома, некоторые позволяют управлять этим функционалом (т.к всё таки он создает излишнее ресурсопотребление), но так же существуют и программы, которые позволяют реализовывать подобный функционал.

Об одной из таковых мы сегодня и поговорим.

Как Вы поняли из заголовка и подзаголовка, мы будем вести речь о программе Sandboxie.

К сожалению, она условно-бесплатная, но тот же бесплатный период поможет Вам познакомится с этим типом инструментов поближе, что, возможно, в дальнейшем таки подтолкнет Вас к более подробному изучению виртуализации, которая, в большинстве своём, существует в бесплатном виде и предоставляет больше возможностей.

Скачать Sandboxie можно с сайта разработчика или, допустим, по этой вот ссылке. Установка практически элементарна, не считая момента, когда потребуется установка драйвера (см.скриншот ниже).

На данном этапе лучше отключить любые элементы защиты (т.е те же антивирусы и фаерволлы), иначе, если этот шаг не удастся, а компьютер повиснет, перезагрузится или уйдет в BSOD, то может потребоваться загрузиться в безопасном режиме и удалить программу без возможности дальнейшего использования.

После установки, собственно, программу необходимо запустить. Вполне возможно, что Вы столкнетесь с уведомлением, которое показано выше. Ничего страшного в нём нет, просто нажмите «ОК«.

Далее Вам предложат пройти краткий курс по работе с программой, точнее немного расскажут о том как оно работает. Пройдите все шесть этапов, желательно, внимательно читая написанное в предоставленной Вам инструкции.

Если говорить кратко, то по сути, Вы можете запустить любую программу в рамках изолированной среды.

В инструкции, если Вы её таки читали, достаточно хорошо приведена метафора на тему того, что по сути, песочница представляет собой кусок прозрачной бумаги, помещенной между программой и компьютером и удаление содержимого песочницы чем-то похоже на отбрасывание использованного листа бумаги и его содержимого, с, что логично, последующей заменой на новый.

Читайте также:  Лучшие приложения для gnu/linux 2016 года

к содержанию ↑

Как настроить и использовать программу-песочницу

Теперь давайте попробуем понять как с этим работать. Для начала Вы можете попробовать запустить, скажем, браузер, в «песочнице».

Чтобы это сделать, собственно, либо воспользуйтесь ярлыком, который появился у Вас на рабочем столе, либо используйте в главном окне программы, элементы меню: «DefaultBox — Запустить в песочнице — Запустить Web-браузер«, либо, если Вы хотите запустить браузер, который не установлен в системе как браузер по умолчанию, то используйте пункт «Запустить любую программу» и укажите путь к браузеру (или программе).

После этого, собственно, браузер будет запущен в «песочнице» и Вы увидите его процессы в окне Sandboxie.

С этого момента всё происходящее происходит в, как уже неоднократно говорилось, изолированной среде и, допустим, вирус, использующий кеш браузера как элемент для проникновения в систему, собственно, не сможет толком ничего сделать, т.к по завершению работы с изолированной средой..

Вы можете её очистить, выкинув, как говорилось в метафоре, исписанный лист и перейдя к новому (при этом никак не трогая целостность компьютера как такового).

Для очистки содержимого песочницы (если оно Вам не нужно), в главном окне программе или в трее (это где часы и прочие иконки) используйте пункт «DefaultBox — Удалить содержимое«.

При этом Вы можете сохранить необходимые Вам данные (допустим, если Вы что-то скачивали браузером и тп), либо просто избавиться от всего одним махом.

Чтобы глубже понять принцип работы, попробуйте несколько раз позапускать браузер и другой софт в песочнице, скачивая различные файлы и удаляя/сохраняя содержимое по завершению работы с этой самой песочницей, а потом, допустим, запуская тот же браузер или программу уже непосредственно на компьютере. Поверьте, Вы поймете суть на практике лучше, чем её можно объяснить словами.

Кстати говоря, по нажатию на правую кнопку мышки на процессе в списке процессов окна Sandboxie Вы можете управлять доступом к разного рода ресурсам компьютера в в обход песочницы, выбрав пункт «Доступ к ресурсам«.

Источник: https://sonikelf.ru/ispolzovanie-pesochnicy-v-kachestve-elementa-bezopasnosti-sanboxie/

Безопасный запуск программ.Программа песочница Sandboxie

Если вы хорошо знакомы с функционалом и особенностями установленной на вашем компьютере антивирусной программы, то наверняка вам известно для чего необходим такой замечательный инструмент как Sandbox.

Как правило, этот модуль входит в состав наиболее известных антивирусников, к примеру таких как Avast. Sandbox или как еще говорят песочница – это программный модуль позволяющий запускать любое приложение в условиях строго изолируемой среды.

Главная задача Sandbox состоит в обеспечении максимальной безопасности компьютера при запуске потенциально опасных приложений или при посещении заражённых веб-сайтов.

Надо сказать, этот метод не лишен недостатков – например, при работе модуля песочницы того же Avast некоторые приложения, запущенные в безопасном режиме могут работать некорректно, а в отдельных случаях даже приводить к зависанию антивирусной программы.

Кроме того это не слишком удобно, особенно когда необходимо быстро переключиться с одного режима на другой. Тем, кого такое положение не устраивает, можно порекомендовать более простое и быстрое решение – утилита Sandboxie — программа песочница.

Это маленькая, удобная программка с русскоязычным интерфейсом позволяет создавать виртуальные области, в которых вы можете запускать практически любое приложение.

При этом результаты всех запускаемых в Sandboxie программ будут сохраняться в отдельных, специально предназначенных папках, совершенно не влияя на работу операционной системы в целом, таким образов предохраняя её от возможных повреждений вирусами или изменений конфигурации.

Также Sandboxie можно использовать и как средство анонимного сёрфинга в интернет в том смысле, что после закрытия браузера на компьютере пользователя не останется никаких следов посещения сайтов.

Работать в Sandboxie достаточно просто. При установке утилита может предложить вам настроить совместимость работы с некоторыми программами.

Все остальные настройки, кроме возможности интегрировать Sandboxie в контекстное меню Проводника можно оставить без изменения.

Кстати, кроме глобальных настроек, имеется также возможность изменять параметры самой песочницы. Также как и общие, эти настройки рекомендуется оставить по умолчанию.

Программа песочница Sandboxie, поддерживает создание нескольких отдельных песочниц, причем в каждой из них можно запускать несколько приложений.

Работающие в одной песочнице программы беспрепятственно могут обмениваться данными, а вот приложения из разных виртуальных областей будут изолированы друг от друга, так же как и от операционной системы в целом. По умолчанию утилита использует одну песочницу под названием «DefaultBox«.

Давайте для примера откроем в Sandboxie какое-нибудь приложение, допустим обыкновенный Блокнот. Возможно, текстовый редактор и не наилучший пример для демонстрации, но в данный момент особого значения это не имеет.

Идем в меню «Песочница» → «DefaultBox» → «Запустить в песочнице» → «…любую программу». После этого откроется небольшое прямоугольное окошко, в котором вы можете ввести имя программы, в нашем случае это notepad.exe или выполнить обзор, указав путь к открываемому приложению с рабочего стола. Выполнять запуск можно также и через меню Пуск.

Что интересно, Sandboxie позволяет запускать с разными профилями даже такие приложения, которые в обычных условиях не позволяют создавать копии в памяти.

Обратите внимание, что работающие в песочнице программы имеют несколько изменённые заголовки рабочих окон, а также при наведении указателя мыши на верхнюю часть окна вся область границ будет подсвечена жёлтым цветом. Ничего в этом страшного нет, не пугайтесь, так и должно быть.

Итак, давайте скопируем и вставим в Блокнот какой-нибудь отрезок текста и попробуем сохранить файл. Первоначально Sandboxie предложит вам сохранить документ в директорию самой программы, но давайте проигнорируем это предложение и сохраним его на жёсткий диск D.

Однако если вы после этого захотите просмотреть этот файл и зайдете на диск D, то там его не окажется. Точнее он будет скрыт, и чтобы восстановить его следует открыть в меню «Вид» раздел «Файлы и папки», найти в раскрывающемся списке нужный файл и в контекстном меню выбрать необходимое действие.

Вот в принципе и вся работа этой замечательной утилиты. Всё очень просто. Список всех запущенных в Sandboxie приложений можно просматривать в рабочем окне утилиты.

В дополнительные возможности Sandboxie входят настройки учетных записей пользователей, автоматическое завершение программ, определение режима любого работающего в Windows приложения, а также некоторые другие опции.

Утилита Sandboxie имеет маленький вес, потребляет минимум системных ресурсов и совершенно не мешает работе других приложений, сворачиваясь при необходимости в системный трей.

Запускать Sandboxie лучше всего через меню Пуск, так как созданный при инсталляции значок на рабочем столе будет открывать не саму программу, а браузер Internet Explorer. В дополнение, небольшое видео как скачать и установить sandboxie:

♦  Рубрика: Windows программы.

Источник: https://chuzhoy007.ru/programma-pesochnica-sandboxie

Как использовать приложения для песочницы?

Я хочу запускать небольшие ненадежные программы, но не ограничивать их доступом к файлам за пределами их папки, сетевого доступа и всего остального, что им действительно не нужно. Каков самый простой способ достичь этого?

Если они действительно ненадежны, и вы хотите быть уверенными, вы создали бы отдельный блок. Или действительно, или практически.

Кроме того, вы не хотите, чтобы этот ящик находился в той же сети, что и ваш важный материал, если вы достаточно параноикны. Во всех решениях вы бы создали отдельного пользователя без прав, чтобы не открывать слишком много инструментов для потенциального компрометатора.

  • Таким образом, самым безопасным вариантом будет отдельный ящик, физически удаленный из вашей сети.
  • Вы можете дать немного, добавив его в физическую сеть, но в другой подсети: никакого «реального» соединения внутри
  • Виртуальная машина будет вариантом, но, возможно, придется отказаться от некоторой производительности

Если вы привязаны к запуску в одном и том же поле, у вас есть, например, этот параметр

  • корневой. Это вариант по умолчанию для этого для многих людей, а для неспецифических угроз он может даже работать. Но это НЕ вариант безопасности, и его можно разбить довольно легко. Я бы предложил использовать это как предназначено, то есть не для безопасности.

В конце концов, вам может понадобиться настроить конкретную модель песочницы без проблем виртуализации или отдельных ящиков или ситуации с хронометром, которая все еще подвержена риску.

Я сомневаюсь, что это то, что вы имели в виду, но посмотрите на эту ссылку для получения более подробной информации: https://stackoverflow.

com/questions/4249063/how-can-i-run-an-untrusted-c-program-in -a-песочница-в-Linux

Docker поможет вам настроить контейнеры, которые вы можете отключить от вашего текущего ядра, но все равно оставайтесь в стороне от остальной части вашей системы. Это похоже на передний край, но в Ubuntu есть хорошая документация.

http://www.docker.io/

Одним из возможных решений является программное обеспечение для виртуализации, такое как виртуальное поле, которое вы можете найти в программном центре.

  • Установить виртуальную коробку
  • Создание виртуальной машины с включенной поддержкой сети
  • Установите Ubuntu или, возможно, более легкий рабочий стол, например Lubuntu
  • Полностью обновить установленную ОС (внутри виртуального окна)
  • Отключить сетевые подключения на виртуальной машине
  • Сделайте снимок

Теперь вы можете установить программное обеспечение, которому не доверяете, чтобы посмотреть, что он делает. Он не может нарушить внешний мир или ОС вашего хоста, поскольку он не имеет доступа.

Тем не менее, это может испортить вашу виртуальную машину, но если вы это сделаете, вы можете просто восстановить свой снимок.

Могут быть другие методы ограничения разрушительной силы ненадежного программного обеспечения, но это самый надежный метод, о котором я могу думать.

Другим вариантом может быть LXC больше информации здесь

LXC – это пакет управления пользовательским пространством для Linux Containers, легкий механизм виртуальной системы, который иногда называют «chroot on steroids».

LXC формируется из chroot для реализации полных виртуальных систем, добавляя механизмы управления ресурсами и изоляции к существующей инфраструктуре управления процессами Linux.

Он доступен в программном центре. Однако у меня нет опыта.

Вы можете использовать subuser для песочницы ваших приложений с Docker. Это позволяет вам делать такие вещи, как приложения для графического интерфейса Sandbox, что нелегко сделать с Docker напрямую.

Я думаю, что возможным решением является создание отдельного пользователя для целей тестирования и ограничение его привилегий. Таким образом, вы не потеряете производительность, что определенно произойдет на виртуальной машине, но я думаю, что это менее безопасно, если не настроить очень правильно, и я не могу советоваться о том, как это сделать.

Источник: http://ubuntu.fliplinux.com/3861.html

Sandbox-утилиты: запуск приложений в виртуальной среде

Вирусы, неопытные пользователи, вносящие деструктивные изменения в операционную систему, а также общее замедление работы Windows со временем привели к появлению такого класса программ, как sandboxes (в переводе «песочница»).

Дети, играющие в песочнице, могут там строить и ломать в свое удовольствие, не нанося ущерба объектам за пределами этой зоны, – точно так же и программы, запущенные в sandbox-утилитах, не повредят файловую систему или ОС, поскольку у них для этого будет своя отдельная «игровая» среда, никак не связанная с реальной.

Tiny Watcher 1.5

Принцип работы Tiny Watcher весьма прост: утилита создает специальный отчет, в котором сохраняет состояние важных файлов и директорий операционной системы и каждый раз после загрузки сверяет их c текущим положением дел.

При наличии несовпадений Tiny Watcher сообщает об этом пользователю.

Следует понимать, что она это делает не в реальном времени и не препятствует изменениям, сканирование происходит только при старте Windows либо при ручном запуске.

Таким образом, Tiny Watcher подойдет тем, кто хочет отслеживать изменения в операционной системе и сам способен решить, что с ними делать.

После установки утилита производит контрольное сканирование Windows и в дальнейшем позволяет проверять состояние файлов двумя способами. Обычное сканирование учитывает только даты изменения файлов, а углубленное создает контрольные суммы всех объектов по методу SHA-1.

Если Tiny Watcher обнаружила изменения в контрольных объектах (а среди прочего проверяются системные папки и файлы, автозагрузка и запущенные процессы), то появится диалог, в котором можно удалить ненужные файлы или заблокировать подозрительные процессы. Удаление обычно не ведет к их исчезновению на диске, просто к названию добавляется .watched_disabled.

Читайте также:  Установить qemu/kvm в ubuntu 16.04/linux mint 18

Faronics Deep Freeze

Deep Freeze работает по принципу «замораживания» – т. е. все изменения в файлах временны и после перезагрузки система возвращается к исходному состоянию.

Deep Freeze – самый функциональный участник теста. Существует две версии программы (Standard и Enterprise), значительно отличающиеся по своим возможностям. Standard Edition практически не имеет настроек. После инсталляции в системном трее появится значок программы, который нельзя активировать обычным способом.

Сделано это умышленно, чтобы неопытные пользователи не изменяли настройки (впрочем, дабы избежать этого наверняка, можно дополнительно установить пароль). Утилита активируется двойным кликом с нажатой клавишей Shift. В опциях можно включить/выключить модуль защиты, но данное действие потребует перезагрузки.

Версия Enterprise предоставляет намного больше возможностей.

Здесь уже можно указать, какие разделы нужно защищать и какие изменения следует игнорировать, а также создать виртуальный жесткий диск, который пригодится для сохранения важных файлов в случае, если вся система «заморожена».

Предусмотрены и специальные настройки, позволяющие проводить обновление ОС и приложений (что, естественно, невыполнимо, когда система находится в защищенном режиме). Для этого в планировщике необходимо установить время, когда защита на определенный период будет отключаться.

Returnil Virtual System

Returnil Virtual System, так же как и Deep Freeze, поставляется в нескольких вариантах, среди которых есть и бесплатный для некоммерческого использования Personal.

Утилита наблюдает только за системным разделом, поэтому в режиме активированной защиты сохранять важные файлы можно на других разделах либо на виртуальном диске, создаваемом с помощью самой же утилиты.

Returnil Virtual System – одна из немногих программ, позволяющих активировать защиту системы без перезагрузки компьютера. По словам разработчиков, они собираются реализовать подобную функциональность и для режима деактивации.

Одной из действительно полезных функций, присутствующих только в платной версии программы, является возможность внесения изменений в файлы даже на защищенном разделе. Тогда они не будут «обнуляться» после перезагрузки системы. Удобнее всего это делать из контекстного меню Проводника.

Встроенный планировщик позволит указать дни, недели и часы, когда система должна работать в защищенном или обычном режиме.

Windows SteadyState

Windows SteadyState – малоизвестная, но тем не менее очень полезная и удобная утилита, разработанная в Microsoft. Ее главное предназначение – установка различных ограничений для определенных пользователей, также в ней реализована функция сброса всех внесенных в файловую систему изменений после перезагрузки ПК.

Программа защищает только системный раздел, что позволяет сохранять файлы на других носителях. Следует отметить, что SteadyState не препятствует обновлению Windows. Активация/деактивация защиты файловой системы всегда требует перезагрузки компьютера.

В SteadyState также предусмотрено создание аккаунтов Windows с определенными ограничениями. В частности, можно запретить запуск конкретных программ, составить список доступных для данного пользователя сайтов, ограничить его возможности по изменению параметров системы (у этого режима огромное количество настроек, с которыми проще разобраться благодаря наличию готовых пресетов).

Для работы «песочницы» утилита резервирует определенную часть свободного места на разделе (по умолчанию используется 50%, но параметр можно настраивать).

SteadyState абсолютно бесплатна, однако для ее установки необходимо пройти проверку подлинности Windows, для чего потребуется доступ в Интернет.

Sandboxie

Sandboxie

Freeware

Разработчик Ronen Tzur

Сайт www.sandboxie.com

Вердикт

Sandboxie работает по несколько иному принципу, нежели другие утилиты. Она не обнуляет все изменения в файловой системе после перезагрузки ПК, а вместо этого запускает приложения в специальной виртуальной среде.

Программы в Sandboxie функционируют почти неотличимо от обычных (разве что в названии окна появляются значки #), но при этом утилита не позволяет им вносить изменения в реальную файловую систему, перенаправляя их запросы в специальную папку (чаще всего C:Sandbox).

Из принципа работы утилиты следует, что хотя реальная система остается нетронутой, результаты деятельности приложений в «песочнице» никогда не пропадают.

При повторном запуске программ в защищенном режиме они продолжают работать с данными, сохраненными в виртуальной среде.

Диапазон применения Sandboxie достаточно широк. Например, веб-серфинг: больше не стоит бояться вирусов, поскольку они все равно не смогут выйти за пределы виртуальной среды.

Кстати, не нужно полагать, что в таком режиме невозможно скачать какой-нибудь файл – если, к примеру, сохранять его на Рабочий стол (эта папка находится в специальном списке исключений), то Sandboxie сразу обнаружит попытку покинуть «песочницу» и уточнит, что делать в таком случае.

Также Sandboxie можно использовать для запуска подозрительных объектов, например программ, на которые отдельные антивирусы реагируют как на зараженные файлы.

Источник: https://itc.ua/articles/sandbox-utility_zapusk_prilozhenij_v_virtualnoj_srede_39818/

Песочница Sandboxie – запуск приложений в защищенной среде

Некоторые массивные приложения (такие, как брендмауэры Outpost Security Suite и Online Armor Premium Firewall, а также скаченные из интернета исполняемые exe- и msi-файлы непонятного содержания) могут нарушить целостность и стабильность системы.

Их установка в рабочую ОС может привести к появлению BSOD-экранов при загрузке ОС, изменению параметров браузера, и даже к распространению червей и троянов, что, вполне вероятно, повлечет за собой похищение злоумышленником паролей к аккаунтам соцсетей, используемых вами веб-служб, почтового ящика и пр.

Ранее мы уже писали о популярных методиках тестирования нового ПО в статьях про виртуальную машину VirtualBox и Shadow Defender. В этом материале мы расскажем о еще одном простом, быстром и эффективном способе запуска любых приложений под Windows в защищенной изолированной среде, и имя ему – песочница Sandboxie.

Что такое песочница?

В области компьютерной безопасности песочницей называют специально выделенную среду, предназначенную для безопасного запуска приложений на ПК. Некоторые комплексные программные продукты включают в свой состав режим безопасной среды (песочницы).

К таким приложениям относятся фаерволл Comodo Internet Security, антивирус Avast! (платная версия), разработки в области защиты данных от Лаборатории Касперского.

Предмет нашей статьи-инструкции, программа Sandboxie, представляет собой полноценное средство для масштабного тестирования любых программ без внесения изменений в структуру и параметры рабочей операционки. Как с ней работать – читайте дальше.

Скачивание дистрибутива и установка Sandboxie

Прежде, чем приступать к установке, как всегда, нужно скачать инсталляционный пакет в сети. Воспользуемся официальным сайтом проекта.

Хотя разработчики и предлагают платные версии продукта для домашнего и офисного использования, нам вполне подойдет и версия, распространяемая на бесплатной основе. Она не имеет никаких временных ограничений. Единственный минус – это возможность работы только с одной песочницей и недоступность некоторых не слишком критичных параметров.

После загрузки дистрибутива, начнем процедуру инсталляции. Она проходит в 2 фазы. Сперва ставятся системные библиотеки и исполняемые файлы Sandboxie.

На заключительном этапе вам будет предложено установить системный драйвер, представляющий собой ядро приложения. Драйвер будет работать в связке со служебными файлами, время его установки – пару мгновений. Соглашаемся и идем дальше.

Первый запуск песочницы Sandboxie

При первом запуске приложения на экране отобразится список программ, для которых можно улучшить совместимость с песочницей.

Несмотря на то, что в этом перечне отображаются далеко не все доступные в ОС приложения, программа песочница автоматически определила, что по умолчанию эти программы не доступны для управления в Sandboxie.

Соглашаемся улучшить совместимость, отметив все элементы списка и нажав ОК.

Далее нам предстоит пройти короткое введение для работы с приложением, где можно познакомиться с общим принципом работы программного продукта, механизмом запуска веб-браузера в защищенном режиме, а также функцией удаления содержимого активной песочницы. Руководство очень сжатое, все его содержимое сводится к нескольким нажатиям кнопок для выполнения наиболее востребованных действий и графической иллюстрации с базовой методикой работы сервиса.

Итак, когда мануал исчерпан, можем приступать к работе в изолированной среде. Запустить приложение можно, выбрав соответствующий пункт в меню «Пуск», либо воспользовавшись нажатием на соответствующую пиктограмму в виде «Приложения» (Win 8/8.1).

Альтернативный способ – двойной клик на иконке песочницы Sandboxie в панели задач.

В результате запуска программы на экране появится форма с активной песочницей, доступной пользователю (еще раз напомним, что в бесплатной версии можно создать только одну песочницу). Практически все операции вызываются из этой формы.

Запуск браузера в режиме песочницы

Ну что ж, запустим браузер в защищенном режиме. Для этого можно воспользоваться ярлыком на рабочем столе, либо сделав правый клик на DefaultBox и выбрав в контекстном меню пункт «Запустить в песочнице» -> «Запустить web-браузер». Стоит отметить, что таким образом можно работать с браузером, установленным в системе в качестве активного по умолчанию.

О включении безопасной изолированной среды символизирует желтая грань, окаймляющая браузерную форму.

Как с ней работать? Запустив браузер в песочнице, вы можете свободно заходить на любые, даже потенциально опасные ресурсы без угрозы заражения вашего ПК каким-либо вредоносным кодом.

Такой режим наверняка пригодится, если вы ищете ключи для программ, кряки, либо вы под своим присмотром усадили за компьютер ребенка, и опасаетесь, что он может оказать вред системе путем перехода на небезопасные ресурсы через баннеры, или же изменить настройки браузера, поставив очередное «супер-уникальное» дополнение. Все загруженные с помощью этого браузера файлы также не будут иметь доступа к рабочей системе.

При попытке скачать посредством работающего в песочнице браузера какой-либо файл, обратите внимание на заголовок формы для задания имени сохранения. Название такой формы обрамляется двумя символами #, что говорит о том, что при сохранении объект будет помещен в оболочку Sandboxie Windows и не будет доступен на обычном дисковом устройстве.

То же самое касается и запускаемых программ.

По умолчанию, загружаемые из сети файлы предлагается поместить в папку Desktop или Downloads. Эти каталоги подходят для работы с песочницей.

Как убедиться, что скаченный файл в песочнице сохранен?

В верхнем меню выберите пункт Вид и отметьте галочкой опцию Файлы и папки. Перед вами откроется дерево доступных дисков и пользовательских каталогов, с которыми можно работать в защищенном режиме. Откройте нужную вам папку и убедитесь, что соответствующие файлы там есть.

Можно ли извлечь файл из песочницы, поместив его в аналогичную папку на обычном служебном диске?

Разумеется, для этого выполните правый клик на файле для восстановления, и в контекстном меню выберите пункт «Восстановить в ту же папку». После этого файл будет извлечен.

К доступным для сохранения папкам можно добавить и новые пути, указав их на форме Настройки песочницы, категория Восстановление -> раздел Быстрое восстановление.

Чтобы открыть форму Настройки песочницы, зайдите в верхнее меню в опцию Песочница, далее выберите подпункт DefaultBox и в появившемся контекстном меню кликните на элемент Настройки песочницы.

Как установить в песочницу новое приложение?

Щелкните правой кнопкой мыши на соответствующем дистрибутиве, сохраненном в изолированной среде либо в стандартной ОС, и выберите в меню пункт «Запустить в песочнице»

Далее последует штатная процедура инсталляции, с которой можно разобраться буквально в два счета.

Единственный нюанс: если вы хотите протестировать 64-разрядную программу, перед установкой добавьте в настройках песочницы Sandboxie путь к папке “C:Program Files”, поскольку по умолчанию может присутствовать лишь путь к системному каталогу “C:Program Files (x86)”.

Сделать это можно опять же в меню Быстрое восстановление. Для вступления изменений в силу нажмите кнопку «Применить» и перезапустите инсталляцию, если процесс уже запущен.

Как запустить в песочнице программу?

Пользователю доступно два способа запуска приложения в защищенной среде.

Первый – это контекстное меню, вызываемое из пункта Песочница в верхнем меню Sandboxie. Здесь можно запустить что-угодно: от внешнего почтового клиента до консольного демона, предназначенного для сжатия файлов в альтернативный аудио-формат.

Второй способ – это воспользоваться интеграцией Sandboxie с проводником Windows. Для этого нужно выполнить правый клик на нужной вам программе на обычном рабочем дисковом устройстве и выбрать вариант «Запустить в песочнице».

Итоги

В целом, нужно сказать, что на 64-битных операционных системах последнего поколения программа чувствует себя не очень уверенно. Случаются периодические вылеты, появляются окна с уведомлением о попытке немедленного восстановления запущенных процессов.

Однако, немного поигравшись с настройками, можно сделать так, чтобы песочница Sandboxie работала стабильно, эффективно и без всяких оговорок, а благодаря интеграции с проводником, запуск приложений проходит гладко и плавно.

Наряду с другими методами виртуализации, данный механизм представляет собой отличное средство отладки и тестирования приложений, которое пригодится для детального изучения взаимодействия программного продукта с рабочей операционной средой.

Источник: http://LiveLenta.com/pesochnica-sandboxie-legkij-i-udobnyj-sposob-zapustit-prilozhenie-v-zashhishhennoj-srede-instrukciya-po-ustanovke-rabote-i-nastrojkam.html

Ссылка на основную публикацию