Firejail — bezpiecznie uruchamiaj niezaufane aplikacje w systemie Linux
Czasami możesz chcieć użyć aplikacji, które nie zostały dobrze przetestowane w różnych środowiskach, ale mimo to musisz z nich korzystać. W takich przypadkach normalne jest, że martwisz się o bezpieczeństwo swojego systemu. Jedną z rzeczy, które można zrobić w Linuksie, jest używanie aplikacji w piaskownicy.
„Sandboxing” to możliwość uruchamiania aplikacji w ograniczonym środowisku. W ten sposób aplikacja otrzymuje ograniczoną ilość zasobów potrzebnych do działania. Dzięki aplikacji o nazwie Firejail możesz bezpiecznie uruchamiać niezaufane aplikacje w systemie Linux.
Firejail to aplikacja SUID (Set Owner User ID), która zmniejsza ryzyko naruszeń bezpieczeństwa poprzez ograniczenie środowiska działania niezaufanych programów przy użyciu przestrzeni nazw Linuksa i seccomp-bpf .
Sprawia, że proces i wszyscy jego potomkowie mają swój własny tajny widok globalnie współdzielonych zasobów jądra, takich jak stos sieciowy, tabela procesów, tabela montowań.
Niektóre funkcje używane przez Firejail:
- Przestrzenie nazw Linuksa
- Kontener systemu plików
- Filtry zabezpieczające
- Wsparcie sieciowe
- Alokacja zasobów
Szczegółowe informacje na temat funkcji Firejail można znaleźć na oficjalnej stronie.
Jak zainstalować Firejail w systemie Linux
Instalację można zakończyć, pobierając najnowszy pakiet ze strony github projektu za pomocą polecenia git, jak pokazano.
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
Jeśli nie masz zainstalowanego git w swoim systemie, możesz zainstalować go za pomocą:
sudo apt install git [On Debian/Ubuntu]
yum install git [On CentOS/RHEL]
dnf install git [On Fedora 22+]
Alternatywnym sposobem instalacji firejail jest pobranie pakietu powiązanego z Twoją dystrybucją Linuksa i zainstalowanie go za pomocą menedżera pakietów. Pliki można pobrać ze strony projektu SourceForge. Po pobraniu pliku możesz go zainstalować za pomocą:
sudo dpkg -i firejail_X.Y_1_amd64.deb [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm [On CentOS/RHEL/Fedora]
Jak uruchamiać aplikacje za pomocą Firejail w systemie Linux
Możesz teraz uruchomić swoje aplikacje za pomocą Firejail. Można to osiągnąć poprzez uruchomienie terminala i dodanie Firejail przed poleceniem, które chcesz uruchomić.
Oto przykład:
firejail firefox #start Firefox web browser
firejail vlc # start VLC player
Utwórz profil zabezpieczeń
Firejail zawiera wiele profili zabezpieczeń dla różnych aplikacji i są one przechowywane w:
/etc/firejail
Jeśli zbudowałeś projekt ze źródła, profile znajdziesz w:
path-to-firejail/etc/
Jeśli korzystałeś z pakietu RPM/deb, profile zabezpieczeń znajdziesz w:
/etc/firejail/
Użytkownicy powinni umieścić swoje profile w następującym katalogu:
~/.config/firejail
Jeśli chcesz rozszerzyć istniejący profil zabezpieczeń, możesz użyć dołączenia ze ścieżką do profilu, a następnie dodać swoje linie. To powinno wyglądać mniej więcej tak:
cat ~/.config/firejail/vlc.profile
include /etc/firejail/vlc.profile
net none
Jeśli chcesz ograniczyć dostęp aplikacji do określonego katalogu, możesz użyć reguły czarnej listy, aby to osiągnąć. Na przykład możesz dodać do swojego profilu zabezpieczeń następujące elementy:
blacklist ${HOME}/Documents
Innym sposobem osiągnięcia tego samego rezultatu jest opisanie pełnej ścieżki do folderu, który chcesz ograniczyć:
blacklist /home/user/Documents
Istnieje wiele różnych sposobów konfigurowania profili zabezpieczeń, takich jak blokowanie dostępu, zezwalanie na dostęp tylko do odczytu itp. Jeśli jesteś zainteresowany tworzeniem niestandardowych profili, możesz zapoznać się z poniższymi instrukcjami Firejail.
Firejail to świetne narzędzie dla użytkowników dbających o bezpieczeństwo, którzy chcą chronić swój system.