Linux开源沙箱Lisa简单介绍

最新推荐文章于 2024-08-08 08:15:58 发布
最新推荐文章于 2024-08-08 08:15:58 发布
阅读量2.4k 收藏 4
点赞数 1
分类专栏: 技术小白 文章标签: linux docker sandbox 沙箱 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wonderdaydream/article/details/119379116
版权

Lisa简单介绍

Lisa是一款开源的Linux沙箱,她使用Docker进行部署,通过qemu提供虚拟化能力,目前暂支持arm32/64、x86/x64、mips平台架构。

跳转链接:https://github.com/danieluhricek/LiSa.git

Lisa整体的架构不算复杂,一些核心的功能点:

  • 静态分析主要由radare2提供;
  • 流量分析主要由tcpdump提供,并使用disspcap来分析抓取的pcap包;
  • 动态行为主要由SystemTap提供;

其中,有两个地方比较有意思,第一是:docker;第二是:buildroot

Docker

  1. 使用Docker部署

    整个项目都是通过Docker进行部署,非常方便。

    这里建议修改worker\Dockerfile的配置。提前下载images、radare2

    FROM python:3.6-slim

ARG maxmind_key=YOUR—KEY

RUN sed -i s@/security.debian.org/@/mirrors.aliyun.com/@g /etc/apt/sources.list \
    && sed -i s@/deb.debian.org/@/mirrors.aliyun.com/@g /etc/apt/sources.list \
    && apt-get clean

RUN apt-get update && apt-get install -y --no-install-recommends \
    gcc \
    g++ \
    libpcap-dev \
    make \
    unzip \
    curl \
    patch \
    git \
    qemu \
    qemu-system \
    openvpn \
    binutils \
    iprange \
    wget \
    tar \
    e2tools \
    && useradd -m lisa

COPY --chown=lisa:lisa ./res/lisa-linux-images-v1.0.1.tar.gz /home/lisa/lisa-linux-images-v1.0.1.tar.gz
COPY --chown=lisa:lisa ./res/radare2-master.zip /home/lisa/radare2-master.zip

RUN echo "Setup Radare2 ..." \
    && unzip /home/lisa/radare2-master.zip -d /home/lisa/xx \
    && mv /home/lisa/xx/radare2-master /home/lisa/radare2 \
    && /home/lisa/radare2/sys/install.sh \
    && echo "Setup LiSa Linux images ..." \
    && tar -xzvf /home/lisa/lisa-linux-images-v1.0.1.tar.gz -C /home/lisa \
    && mv /home/lisa/linux-images-1.0.1 /home/lisa/images

COPY --chown=lisa:lisa ./data /home/lisa/data
COPY --chown=lisa:lisa ./docker /home/lisa/docker
COPY --chown=lisa:lisa ./lisa /home/lisa/lisa
COPY --chown=lisa:lisa ./requirements.txt /home/lisa/requirements.txt

ENV PYTHONPATH /home/lisa

WORKDIR /home/lisa

RUN pip install -r requirements.txt -i https://pypi.douban.com/simple \
    && iprange -j data/blacklists/* > data/ipblacklist \
    && ./docker/worker/maxmind.sh $maxmind_key \
    && apt-get purge -y --auto-remove -o APT::AutoRemove::RecommendsImportant=false \
    git \
    gcc \
    g++ \
    make \
    patch \
    && rm -rf /var/lib/apt/lists/* \
    && rm -rf /radare2/.git

CMD ["./docker/worker/init.sh"]

  2. 使用Docker来编译lisa.ko

    Lisa的动态行为是通过systemstap 4.1来实现,具体请参考lisa.stp。后续考虑来详细分析SystemTap。

    这里也建议先下载好交叉编译工具。

    在编译ko的时候,需要提供linux-header,这里的源码需要与buildroot一致,提供一个参考路径:

    ..../buildroot-2018.11.1/output/build/linux-4.16.7

    编译ko文件如下:

    docker run --rm -v ..../shared:/shared:rw csb -a arm -k /shared/linux-4.16.7 /shared/lisa.stp

    Docker配置文件如下:

    FROM fedora:29

RUN dnf install -y @development-tools \
                   gcc-c++ \
                   python2 \
                   zlib-devel \
                   flex \
                   unzip \
		   bison \
                   bzip2 \
                   wget \
                   findutils

RUN rpm -e --nodeps systemtap \
  && rpm -e --nodeps systemtap-client \
  && rpm -e --nodeps systemtap-devel \
  && rpm -e --nodeps systemtap-runtime 

COPY . /csb/

RUN unzip /csb/systemtap-master.zip -d /csb/xx && mv /csb/xx/systemtap-master /csb/systemtap

WORKDIR /csb/systemtap

RUN ./configure --with-elfutils=/csb/elfutils/elfutils-0.176/ \
  && make all \
  && make install \
  && rm -rf /usr/share/systemtap/tapset \
  && mv /csb/tapset /usr/local/share/systemtap/tapset

WORKDIR /

ENTRYPOINT ["/csb/entrypoint.sh"]
BuildRoot

buildroot版本:buildroot-2018.11.1

内核版本:linux-4.16.7

以aarch64为例:

修改configs/qemu_aarch64_virt_defconfig

BR2_CCACHE=y

BR2_TOOLCHAIN_BUILDROOT_WCHAR=y

BR2_TOOLCHAIN_BUILDROOT_CXX=y

BR2_TARGET_GENERIC_ROOT_PASSWD=“root”

BR2_PACKAGE_STRACE=y

BR2_PACKAGE_STRESS=y

BR2_PACKAGE_OPENSSL=y

BR2_PACKAGE_ELFUTILS=y

BR2_PACKAGE_DROPBEAR=y

修改board/qemu/aarch64-virt/linux.config

CONFIG_RELAY=y

CONFIG_KPROBES=y

CONFIG_DEBUG_INFO=y

CONFIG_GDB_SCRIPTS=y

CONFIG_DEBUG_KERNEL=y

CONFIG_FUNCTION_TRACER=y

最后编译

make qemu_aarch64_virt_defconfig

make BR2_JLEVEL=$(getconf _NPROCESSORS_ONLN)

这里同时需要把systemtap一并编译进去。

其它

安装systemtap时,使用:make install prefix=......./buildroot-2018.11.1/output/target,会把systemtap相关工具安装到/target/bin目录下

虚拟机$PATH=/bin:/sbin:/usr/bin:/usr/sbin默认是不包含/usr/local/bin的~

QEMU虚拟机退出方式:Ctrl+a,然后按 x

gambolday
关注
专栏目录
Android 沙箱开源,Android Sandbox沙箱开源工具介绍
weixin_34306878的博客
06-01 1631
android sandbox 通过利用开源工具动态分析、静态分析android的相关应用,发现应用的具体行为,从而进行判断android应用的危险程度,本文重点介绍几款常用工具。1、droidbox是基于TaintDroid系统构建的Sandbox,通过hook系统api对apk程序进行监控,随着android SDK的不断更新,其也要随之适配。droidbox:http://code.goog...
linux沙箱隔离_为容器提供更好的隔离:沙箱容器技术概览
weixin_39929254的博客
12-22 855
摘要既然主流 IT 工业都在采用基于容器的基础设施(云原生方案),那么了解这一技术的短板就很重要了。Docker、LXC 以及 RKT 等传统容器都是共享主机操作系统核心的,因此不能称之为真正的沙箱。这些技术的资源利用率很高,但是受攻击面积和潜在的攻击影响都很大,在多租户的云环境中,不同客户的容器会被同样的进行编排,这种威胁就尤其明显。主机操作系统在为每个容器创建虚拟的用户空间时,不同容器之间的隔...
firejail:Linux 命名空间沙箱程序-开源
06-04
Firejail 是一个 SUID 程序,它通过使用 Linux 命名空间和 seccomp-bpf 限制不受信任的应用程序的运行环境来降低安全漏洞的风险。 它允许进程及其所有后代拥有自己的全局共享内核资源的私有视图,例如网络堆栈、进程表、挂载表。 该软件是用 C 语言编写的,几乎没有依赖关系,可以在任何具有 3.x 内核版本或更新版本的 Linux 计算机上运行。 沙箱是轻量级的,开销很低。 无需编辑复杂的配置文件,无需打开套接字连接,无需后台运行的守护进程。 所有安全功能都直接在 Linux 内核中实现,并可在任何 Linux 计算机上使用。 Firejail 可以沙箱处理任何类型的进程:服务器、图形应用程序,甚至用户登录会话。 该软件包括大量 Linux 程序的安全配置文件:Mozilla Firefox、Chromium、VLC、Transmission 等。
Sandboxie Plus 开源项目安装及使用指南
最新发布
gitblog_00611的博客
08-08 960
Sandboxie Plus 开源项目安装及使用指南 SandboxieSandboxie Plus & Classic项目地址:https://gitcode.com/gh_mirrors/sa/Sandboxie 一、项目介绍 关于Sandboxie Plus Sandboxie Plus是基于原Sandboxie开发的一款功能强大的沙箱软件,它在原有的基础上增加了现代Qt界面,支持了更多的...
linux沙箱
fishmei的博客
03-05 1973
linux沙箱 概述 以前一直在刷OJ时,一直在想oline judge是怎么实现的。输入和输出数据都很好办,时间控制也简单。但是怎么保证内存在一定范围内,而且代码不会做出什么危险动作,添加删除磁盘文件,执行bash操作,进行网络操作等等。 噢噢,后来我才发现,linux中的沙箱技术就是专门做这个的。 使用setuid,设置用户程序的uid,来将用户权限缩小到一个可控的范围。但无法监控内
开源沙箱CuckooSandbox 介绍与部署
weixin_30321449的博客
09-19 1490
1. 介绍 1.1应用 在工作中很多时候需要自己对一些可以程序,可执行文件进行检测,当然我们可以通过VT,微步,等一些开源的平台进行检测。现在我们通过自己搭建的开源沙箱进行检测。所谓沙箱,是分离运行程序的一种安全机制。他通常用于执行未经测试的代码,或来自第三方、供应商、不可信网站等的不可信程序。我们可以通过沙箱在一个隔离的环境运行,不可信程序,并且获取他做的信息。 恶意软件分析一...
Linux沙箱技术
summer_fish的专栏
12-01 1291
Linux系统中,由于其开放源代码和广泛应用的特点,安全性成为了一个关键问题。为了确保系统的安全性,研究者们提出了许多解决方案,其中之一就是进程沙箱隔离。进程沙箱隔离是一种将应用程序与底层操作系统隔离开来的技术。通过将应用程序运行在一个受限的环境中,可以有效地防止恶意软件或有害程序对系统的攻击和破坏。进程沙箱隔离主要依靠操作系统的安全机制来实现。在Linux系统中,可以利用命名空间(namespace)和 控制组(cgroup)等功能来构建进程沙箱
一个Python开源项目-腾讯哈勃沙箱源码剖析(上)
七夜的博客
01-04 1329
一个Python开源项目-腾讯哈勃沙箱源码剖析(上) 前言 2019年来了,2020年还会远吗? 请把下一年的年终奖发一下,谢谢。。。 回顾逝去的2018年,最大的改变是从一名学生变成了一位工作者,不敢说自己多么的职业化,但是正在努力往那个方向走。 以前想的更多是尝试,现在需要考虑的更多是落地。学校和公司还是有很大的不一样,学到了很多东西。   2...
基于多安全机制的Linux应用沙箱的设计与实现.pdf
09-06
"基于多安全机制的Linux应用沙箱的设计与实现" Linux 操作系统中,沙箱机制是提供了一种独立的运行环境,保护用户和系统的安全性。本文设计的基于多安全机制的Linux应用沙箱,提供了文件系统隔离、系统资源隔离、...
开源免费沙箱增强版 Sandboxie Plus 0.7.3 + x64 中文免费版.zip
06-01
开源免费沙箱增强版 Sandboxie Plus 中文版开源免费沙箱增强版 Sandboxie Plus 中文版 由于 Open Sourcing 沙盒发布了两种版本,因此经典版本使用基于 MFC 的 UI 进行构建,此外还包含新功能和全新的基于 QT UI。...
linux-FSSBLinux文件系统沙箱
08-13
FSSB - Linux文件系统沙箱
Go-gVisorGoogle开源的新型沙箱容器运行时环境
08-14
gVisor:Google开源的新型沙箱容器运行时环境
lisa:Linux集成系统分析
03-11
介绍 LISA项目提供了一个工具包,该工具包支持对Linux内核行为进行回归测试和交互式分析。 LISA代表Linux集成/交互式系统分析。 LISA的目标是帮助Linux内核开发人员评估内核核心部分中修改的影响。 重点是调度程序(例如EAS),电源管理和散热框架。 但是LISA是通用的,也可以用于其他目的。 LISA具有主机/目标模型。 LISA本身在主机上运行,并使用工具包通过SSH,ADB或telnet与目标进行交互。 LISA在目标操作系统方面很灵活; 它唯一的期望是基于Linux内核的系统。 Android,GNU / Linux和busybox风格的系统都已被使用。 LISA提供了一些功能来描述工作负载(特别是使用 )并在目标上运行它们。 它可以从目标OS收集跟踪文件(例如systrace和ftrace跟踪)。 然后可以对这些跟踪进行解析和分析,以检查工作负载执行期间的详
Linux沙箱技术介绍
chenglinhust的专栏
11-21 5668
Linux沙箱技术介绍
推荐开源项目:Groovy-Sandbox——安全执行Groovy代码的沙箱环境
gitblog_00098的博客
06-23 694
推荐开源项目:Groovy-Sandbox——安全执行Groovy代码的沙箱环境 groovy-sandbox(Deprecated) Compile-time transformer to run Groovy code in a restrictive sandbox 项目地址:https://gitcode.com/gh_mirrors/gr/groovy-sandbox 在软件开发中,我...
推荐开源项目:sandboxfs - 文件系统的沙箱
gitblog_00048的博客
05-24 507
推荐开源项目:sandboxfs - 文件系统的沙箱 sandboxfsA virtual file system for sandboxing项目地址:https://gitcode.com/gh_mirrors/sa/sandboxfs 项目介绍 sandboxfs 是一个基于 FUSE(文件系统在用户空间) 的虚拟文件系统,它能够将主机上的多个文件和目录组合成一棵拥有任意布局的虚拟树。这个...
linux创建沙箱环境,FSSB - Linux文件系统沙箱
weixin_31829387的博客
05-10 538
FSSB - Filesystem Sandbox for LinuxWhat is FSSB?FSSB is a sandbox for your filesystem. With it, you can run any program and be assured that none of your files are modified in any way. However, the pro...
linux沙箱技术
xu_ya_fei的专栏
12-08 7012
在计算机安全领域,沙箱(Sandbox)是一种程序的隔离运行机制,其目的是限制不可信进程或不可信代码运行时的访问权限。沙箱技术经常被用于执行未经测试的或不可信的客户程序。为了阻止不可信程序可能破坏系统程序或破坏其它用户程序的运行,沙箱技术通过为不可信客户程序提供虚拟化的内存、文件系统、网络等资源,而这种虚拟化手段对客户程序来说是透明的。由于沙箱里的资源被虚拟化(或被间接化),所以沙箱里的不可信程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值