Drošība nav ieskrūvēta — tā ir darbplūsma. Ja testējat lietotnes, sānu ielādes rīkus vai lēkājat starp ekosistēmām, smilškastes izmantošana nodrošina tīrāku atcelšanu un mazāku sprādziena rādiusu, nekā paļaujoties uz vienu pretvīrusu. Šajā daļā ir izklāstīti praktiskie smilškastes modeļi operētājsistēmām Android, Windows, macOS un Linux, kā arī ātrs MacOS virtuālās mašīnas apraksts, ko varat atkārtot jau šodien. Lai iegūtu iesācējiem draudzīgu drošo operētājsistēmas smilškastes darbu, vispirms izpētiet to un pēc tam izmantojiet tālāk norādīto energolietotāja iestatījumu.
Kāpēc smilškaste darbojas (un kad to izmantot)
Lielākā daļa mūsdienu draudu ierobežo likumīgās sesijas — pārlūkprogrammas marķieri, pieteikušies paroļu pārvaldnieki, atļauta piekļuve failiem — nevis klasiskās administratora darbības. Smilšu kastes samazina ekspozīciju, atdalot lomas, ierobežojot atļaujas un padarot “nukleāro un bruģēt” darbību ar vienu klikšķi.
Kur katra pieeja ir piemērota:
– Virtuālās mašīnas (VM): Visaugstākā izolācija neparakstītām lietotnēm, mantotās OS testēšanas vai konfidencialitātes ziņā jutīgām darbplūsmām. Smagāks ar RAM/CPU.
– Konteineri (Docker/Podman, WSL2): Ātri, reproducējami izstrādātāju skursteņi un CLI. Koplieto resursdatora kodolu; nav pilna darbvirsma.
– Profili/darbvietas (Android darba profils, Windows lokālie konti, macOS lietotāji): Ātra lietotņu un krātuves atdalīšana. Vieglāka izolācija.
– Lietotņu smilškastes (pārlūkprogrammu profili, Flatpak/Snap, macOS App Sandbox): Detalizētas atļaujas un vienkārši atjauninājumi jūsu galvenajā sesijā.
Kraušanas palīdz. Riskantai pārlūkošanai palaidiet īpašu pārlūkprogrammas profilu virtuālajā mašīnā, kas ir maršrutēts caur savu VPN. Pat tad, ja pārlūkprogrammas sesija ir apdraudēta, tā ir ieslodzīta aiz vienreizējās OS un atsevišķas tīkla politikas.
Ātrās uzvaras, kuras varat pieņemt jebkur:
– Izmantot atšķirīgi pārlūkprogrammas profili uz lomu (personīgā, finanses, pētniecība).
– Paturi aparatūras atslēgas pierakstīšanās administratora kontiem un kodu repo.
– Veikals koplietotie faili vienā pārsūtīšanas mapē; nekad nemontējiet visu mājas direktoriju virtuālajā mašīnā.
– Apstrādājiet smilšu kastes kā bezvalstnieks: veiciet uzdevumu, eksportējiet pārbaudītos artefaktus, atgriezieties momentuzņēmumā.
macOS VM: reproducējama, vienreiz lietojama laboratorija
Šis norādījums ir rīkagnostisks un darbojas ar Apple silīcija priekšgaliem (piemēram, virtualizācijas ietvara lietotnēm) vai 2. tipa hipervizoriem Intel. Pogu etiķetes atšķiras, taču plūsma ir vienāda.
1) Izveidojiet tīru pamatni
– Piešķiriet 4–8 vCPU, 6–8 GB RAM un 40–60 GB ierobežotu disku.
– Sāciet ar NAT tīklu, lai nodrošinātu drošāku noklusējumu; pievienojiet tiltu vēlāk, ja nepieciešams LAN atklāšana.
– Izveidojiet divus kontus: ikdienas lietotāju, kas nav administrators, un atsevišķu administratoru. Saglabājiet minimālu pamata attēlu: pārlūkprogramma, redaktors, arhīva rīks.
2) Vispirms nocietiniet, pēc tam uzņemiet momentuzņēmumu
– Sadaļā Sistēmas iestatījumi → Privātums un drošība liedziet piekļuvi kamerai/mikrofonam/ekrāna ierakstīšanai/failam, ja vien tas nav nepieciešams.
– Pēc noklusējuma atspējojiet failu koplietošanu, AirDrop un attālo pieteikšanos.
– Izslēdziet un uzņemiet momentuzņēmumu 0-Golden. Dokumentu versijas un konfigurācija README virtuālajā mašīnā.
3) Klonēt pēc uzdevuma
– Pētījuma VM: Pārlūkprogramma ar skriptu bloķēšanu/pretizsekošanu, unikālu paroles glabātuvi, atspējotu koplietojamo starpliktuvi/vilkšanu un nomešanu.
– VM testēšana: Ir iespējota ekrāna ierakstīšana un izstrādātāju rīki, kā arī tikai lasāma resursdatora–viesi koplietojama mape instalētājiem.
– Mantotā virtuālā mašīna: Vecāka macOS saderības pārbaudēm; pēc noklusējuma saglabājiet bezsaistē, vajadzības gadījumā iespējojiet tīklu tikai aiz NAT.
4) Kontrolējiet robežu
– Koplietotās mapes: Izmantojiet vienu “VM-Transfer” direktoriju. Saglabāt resursdatora stiprinājumus tikai lasāmus; tīši eksportēt datus no virtuālās mašīnas.
– Starpliktuve un USB: Atspējot globālo starpliktuves sinhronizāciju un automātisko USB caurlaidi. Ja nepieciešams, skaidri pievienojiet USB ierīces.
– Tīklošana: Piešķiriet riskantajām virtuālajām mašīnām īpašu VPN profilu vai ugunsmūra kārtulu kopu (noklusējuma aizliegums, atļaut tikai nepieciešamos domēnus). Apsveriet iespēju izmantot vietējo DNS atrisinātāju vai izlietni.
5) Darbināt, eksportēt, atgriezt
– Veiciet uzdevumu klona iekšpusē.
– Pārvietojiet tikai pārbaudītās izvades, izmantojot “VM-Transfer”.
– Atgriezties uz pēdējo momentuzņēmumu. Ja kaut kas nešķiet slikts: pārtrauciet tīklu izveidi, satveriet žurnālus/ekrānuzņēmumus, atgrieziet un pagrieziet izmantotos akreditācijas datus. tikai iekšā tajā VM.
6) Versiju pārvaldība
– Saglabājiet vairākas bāzes (piem., “Golden-Sequoia”, “Golden-Sonoma”). Kad ielāpi nokļūst, atjauniniet klonu, apstipriniet un pēc tam paaugstiniet uz jaunu Golden, ja viss ir spēkā. Konsekventi atzīmējiet momentuzņēmumus (0 — zelts, 1 pārlūkprogramma, 2 rīki).
Starpplatformu piezīmes
– Android: Iespējojiet darba profilu, lai atdalītu lietotnes un pārslēgtos, piemēram, “Instalēt nezināmas lietotnes”. Izmantojiet pārlūkprogrammas, kas atbalsta konteineru cilnes vai profilus.
– Windows: Savienojiet pārī Hyper-V vai VirtualBox ar standarta (nav administratora) ikdienas kontu. Ja iespējams, izmantojiet Windows Defender Application Guard izolētai pārlūkprogrammai.
– Linux: Dodiet priekšroku Flatpak vai Snap darbvirsmas lietotnēm, izmantojot Firejail papildu smilškastes darbam. Izstrādātājiem palaidiet konteinerus bez saknēm, lai skursteņi būtu reproducējami un vienreiz lietojami.
Veiktspējas padomi
– Nebadiniet saimnieku. Izmantojot 16 GB RAM, ierobežojiet vienam MacOS viesim 6–8 GB un aizveriet lielas resursdatora lietotnes darbības laikā.
– Izmantojiet virtio ierīces, lai nodrošinātu labāku ievadi/izvadi, kur tas tiek atbalstīts.
– Saglabājiet aktīvās virtuālās mašīnas SSD; arhivēt aukstos attēlus citur. Periodiski kompakti diski, lai atgūtu vietu.
Automatizācijas idejas
– Veidojiet savu VM un skripta izveidi tur, kur jūsu rīks to atbalsta.
– Automātiski pagrieziet momentuzņēmumus (saglabājiet piecus katru dienu, reklamējiet vienu reizi nedēļā).
– Palaidiet riskantas darba virtuālās mašīnas ar iepriekš lietotiem ugunsmūra/VPN noteikumiem, lai aizsargmargas nekad nebūtu “izvēles”.
Secinājums: smilšu kastes saskaņo drošību ar jūsu paradumiem. Ar zelta macOS virtuālo mašīnu, uzdevumiem raksturīgiem kloniem un stingrām failu, starpliktuves un tīkla robežām jūs iegūstat ātrāku testēšanu, tīrākas iekārtas un atkopšanu ar vienu klikšķi — neatkarīgi no tā, kuru platformu izmantojat.
Ziņa Sandbox Strategies for Power Users On Any Platform vispirms parādījās Android virsrakstos.
