Как я могу безопасно запустить ненадежный исполняемый файл в Linux?

Прежде всего, если это двоичный файл с очень высоким риском ... вам нужно будет установить изолированную физическую машину, запустить двоичный файл, а затем физически уничтожить жесткий диск, материнскую плату и в основном все остальное. Потому что в наши дни даже ваш робот-пылесос может распространять вредоносное ПО. А что, если программа уже заразила вашу микроволновую печь через динамик компьютера с помощью высокочастотной передачи данных ?!

Но давайте снимем эту шляпу из фольги и немного вернемся к реальности.

Нет виртуализации, быстро использовать: Firejail

Он уже упакован в Ubuntu, он очень маленький, практически не имеет зависимостей.
Как установить на Ubuntu:sudo apt-get install firejail

Веб-сайт: https://firejail.wordpress.com/

Информация о пакете:

Package: firejail Priority: optional Section: universe/utils Installed-Size: 457 Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com> Original-Maintainer: Reiner Herrmann <reiner@reiner-h.de> Architecture: amd64 Version: 0.9.38-1 Depends: libc6 (>= 2.15) Filename: pool/universe/f/firejail/firejail_0.9.38-1_amd64.deb Size: 136284 MD5sum: 81a9a9ef0e094e818eb70152f267b0b6 SHA1: 41d73f8b9d9fd50ef6520dc354825d43ab3cdb16 SHA256: f1cbc1e2191dbe6c5cf4fb0520c7c3d592d631efda21f7ea43ab03a3e8e4b194 Description-en: sandbox to restrict the application environment Firejail is a SUID security sandbox program that reduces the risk of security breaches by restricting the running environment of untrusted applications using Linux namespaces and seccomp-bpf. It allows a process and all its descendants to have their own private view of the globally shared kernel resources, such as the network stack, process table, mount table. Description-md5: 001e4831e20916b1cb21d90a1306806f Homepage: https://firejail.wordpress.com Bugs: https://bugs.launchpad.net/ubuntu/+filebug Origin: Ubuntu  

Мне пришлось запустить аналогичный «недоверенный» двоичный файл всего несколько дней назад. И мой поиск привел к этой очень крутой маленькой программе.

Виртуализация: KVM, Virtualbox .
Это самая безопасная ставка. В зависимости от двоичного Но, эй, смотри выше.
Если его отправил «мистер Хакер», который является программистом «черного пояса», то есть вероятность, что двоичный файл сможет избежать виртуальной среды.

Бинарный вредоносный код, метод экономии затрат: арендуйте машину! Виртуальный. Примеры поставщиков виртуальных серверов: Amazon (AWS), Microsoft (Azure), DigitalOcean, Linode, Vultr, Ramnode. Вы берете машину напрокат, запускаете все, что вам нужно, и они их стирают. Большинство крупных провайдеров выставляют счета почасово, поэтому это действительно дешево.

Просто запустите его для отдельной установки - установите отдельную установку на внешний диск или другой жесткий диск, убедитесь, что разделы основной установки не смонтированы (или, что еще лучше, отключите их), и протестируйте. Вы можете создать резервную копию предустановки на случай, если она вам понадобится снова, и сбросить ее, когда закончите.

Это гораздо более надежный метод, чем песочница / тюрьма, и вы можете с уверенностью рассматривать вторую установку как одноразовую и / или использовать ее только при необходимости.

Со страницы руководства Firejail:

 Without any options, the sandbox consists of a filesystem build in a new mount namespace, and new PID and UTS namespaces. IPC, network and user namespaces can be added using the command line options. The default Firejail filesystem is based on the host filesystem with the main system directories mounted read-only. These directories are /etc, /var, /usr, /bin, /sbin, /lib, /lib32, /libx32 and /lib64. Only /home and /tmp are writable. 

Это высокоуровневое описание, есть и другие вещи, например, / boot занесен в черный список, также как и / sbin и / usr / sbin.

https://firejail.wordpress.com/features-3/man-firejail/

Вы также можете посмотреть этот документ: https://firejail.wordpress.com/documentation-2/firefox-guide/ - у них очень хорошее описание файловой системы.