Иногда возникает необходимость запустить потенциально небезопасную программу или установить две версии одной и той же утилиты (например, бета-версию, в которой появились нужные функции, и стабильную версию). Можно ли изолировать ту или иную программу от остальных процессов в операционной системе, чтобы избежать возможных неприятностей? Оказывается, можно — помогут программы-песочницы.

Где можно использовать песочницы?

Несмотря на то что современные операционные системы вполне неплохо защищены от вредоносных программ, а  антивирусы и сетевые экраны постоянно обновляются и совершенствуются, вы всегда можете подвергнуть опасности важные файлы. Например, программа от неизвестного разработчика может содержать вредоносный код, а непротестированная версия полезной утилиты — изобиловать ошибками. Иногда ту или иную программу надо запустить изолированно, например, для ее отладки. Можно ли сделать так, чтобы отдельная программа запускалась, не влияя на операционную систему?

Да, причем сделать это можно несколькими способами. Один из самых простых и распространенных способов — использование программы для управления песочницами. Эти программы отчасти напоминают виртуальные машины.

Виртуализация позволяет запускать процессы, порожденные программой в специальной изолированной среде. Даже если программа начнет проявлять вредоносную активность или попытается удалять какие-либо файлы, это не повредит операционной системе.

В изолированной среде можно открывать вложения в электронных письмах от неизвестных отправителей, исследовать потенциально вредоносные сайты (например, зараженные), тестировать поведение собственных приложений, если вы разрабатываете ПО. Словом, сфера применения песочниц довольно широка.

Популярные программы-песочницы

В Windows одной из самых популярных программ-песочниц стала Sandboxie. Эта программа отличается сравнительно невысокой ценой (около 20 долларов в год для домашнего использования) и простотой настроек. Sandboxie создает на жестком диске изолированный контейнер, внутри которого «живет» запускаемая программа. После завершения работы изолированной в песочницу программы файлы внутри контейнера могут быть удалены. Также в настройках песочницы можно задать список файлов, которые будут автоматически восстановлены к исходному состоянию после окончания работы изолированной программы. В Sandboxie можно запустить одну из стандартных утилит или любую программу, установленную на компьютере.

Источник: sonikelf.ru

Разумеется, стоит учесть, что запуск программы в песочнице потребует большего количества системных ресурсов, чем прямой запуск в операционной системе.

В Linux популярностью пользуется firejail — утилита-песочница, которая использует отдельные пространства имен для запускаемых процессов, а также отдельные ресурсы ядра, например, сетевой стек для изолированных приложений. Чтобы запустить необходимую программу в песочнице, достаточно в терминале Linux передать имя исполняемого файла утилите firejail. Например, запустим файловый менеджер:

firejail mc —private

Ключом private мы запретили изолированной программе доступ к домашней директории.

Заметим, что firejail можно запускать не только в командной строке, существуют также графические утилиты для запуска песочницы, например, firetools.

Виртуализация внутри операционной системы

В последнее время средства для виртуализации нередко встраивают сразу в операционные системы. Компания Microsoft не осталась в стороне от современных тенденций.

В Windows 10 подготовлен встроенный инструмент Windows Sandbox, он доступен в сборке 18305 и более поздних билдах системы, но только для обладателей лицензий Pro и Enterprise. Этот инструмент позволяет запустить внутри Windows еще одну копию системы, но уже с урезанными правами.

Источник: lithium.com

На рабочем столе этой системы можно будет запускать программы и открывать документы. Для запуска Windows Sandbox не понадобится устанавливать дополнительное ПО — инструмент встроен в операционную систему. Ориентировочно песочница от Microsoft будет доступна к концу первого квартала 2019 года, для ее использования понадобится не менее 4 Гб оперативной памяти и хотя бы двухъядерный процессор. Корпорация надеется сделать экосистему Windows более безопасной, поэтому включение в систему песочницы выглядит вполне логичным решением.

Разумеется, программы-песочницы — это не единственный способ запустить программу в изолированной среде. Вы можете, например, установить необходимую операционную систему в VirtualBox. В итоге вы получите полноценную систему внутри системы и сможете запускать любые приложения. Но использование средств виртуализации требует значительных системных ресурсов, да и программы-песочницы нередко использовать проще, чем установить и настроить новую операционную систему.