web-dev-qa-db-ja.com

Ctf作成サンドボックス化された質問

小さな質問があります。ctfを作成していますが、解決方法がわからないという考えに出くわしました。

Ctfをhack.meとして作成するいくつかのWebサイトでは、サンドボックスを使用しています。

Ctfのセキュリティと進行中のフローのために、これも実行したいと考えていますが、オープンソース方式を使用して実行したいと考えています。しかし、これについて十分な知識がないので、皆さんにお聞きしたいと思います。

専用サーバー上にサンドボックス環境を作成することは可能ですか? (root the boxプラットフォームを使用します)

これが必要な理由は、他の人が他のctfを悪用したり混乱させたりできないようにするためです。したがって、チーム/ユーザーごとにサンドボックスを作成します。

誰かが私を正しい方向に向けることができますか?

どうもありがとうございました!

3
NoFxor

あるCTFセッションの人々が別のCTFセッションに干渉することを許可することにまったく問題はないと思います。原則として競争なので、それは公正なゲームです。

それでも、たとえば、CTFを誰でも誰でも(インターネット上の誰でも)に公開したい場合は、サンドボックスを作成します。実際には良い考えです。誰かがあなたのシステムをフィッシング詐欺の場として使用する可能性があります(たとえば、他のユーザーのセッションへの侵入をスクリプト化したり、リンクを提示したりすることによって)。

幸い、Linuxにはサンドボックスシステムが組み込まれています。 KVMlibvirtを使用して、各セッションに独自のサンドボックスを与えることができます。 virt-sandbox 、これはKVM/QEMUを使いやすくするための取り組みです。

もちろん、サンドボックス/ VMにはバグがあります。また、 VMをクロスオーバー することが可能な場合もあります。他のすべてと同様に、セキュリティの保証はありません(たとえば、KVM)に対するゼロデイ攻撃がある可能性があります、ただし、他のすべての仮想化ソフトウェアでも同様です)。

1
grochmal