Firejail - Rulați în siguranță aplicații neîncrezătoare în Linux


Uneori este posibil să doriți să utilizați aplicații care nu au fost bine testate în diferite medii, dar trebuie să le utilizați. În astfel de cazuri, este normal să fii îngrijorat de securitatea sistemului tău. Un lucru care poate fi făcut în Linux este să utilizați aplicații într-un sandbox.

Sandboxing ” este capacitatea de a rula aplicația într-un mediu limitat. În acest fel, aplicației i se oferă o cantitate redusă de resurse, necesare pentru a rula. Datorită aplicației numite Firejail, puteți rula în siguranță aplicații care nu sunt de încredere în Linux.

Firejail este o aplicație SUID (Set Owner User ID) care reduce expunerea la încălcări de securitate prin limitarea mediului de rulare al programelor neîncrezătoare folosind spații de nume Linux și seccomp-bpf .

Face ca un proces și toți descendenții săi să aibă propria lor vedere secretă asupra resurselor nucleului partajate la nivel global, cum ar fi stiva de rețea, tabelul de procese, tabelul de montare.

Unele dintre funcțiile pe care le utilizează Firejail:

  • Spații de nume Linux
  • Container de sistem de fișiere
  • Filtre de securitate
  • Suport de rețea
  • Alocare resurselor

Informații detaliate despre caracteristicile Firejail pot fi găsite pe pagina oficială.

Cum se instalează Firejail în Linux

Instalarea poate fi finalizată prin descărcarea celui mai recent pachet de pe pagina github a proiectului folosind comanda git așa cum se arată.

git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip

În cazul în care nu aveți git instalat pe sistemul dvs., îl puteți instala cu:

sudo apt install git  [On Debian/Ubuntu]
yum install git       [On CentOS/RHEL]
dnf install git       [On Fedora 22+]

O modalitate alternativă de a instala firejail este să descărcați pachetul asociat distribuției dvs. Linux și să îl instalați cu managerul de pachete. Fișierele pot fi descărcate de pe pagina SourceForge a proiectului. După ce ați descărcat fișierul, îl puteți instala cu:

sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Cum să rulați aplicații cu Firejail în Linux

Acum sunteți gata să rulați aplicațiile cu firejail. Acest lucru se realizează prin lansarea unui terminal și adăugarea de firejail înainte de comanda pe care doriți să o rulați.

Iată un exemplu:

firejail firefox    #start Firefox web browser
firejail vlc        # start VLC player

Creați un profil de securitate

Firejail include multe profiluri de securitate pentru diferite aplicații și sunt stocate în:

/etc/firejail

Dacă ați construit proiectul de la sursă, puteți găsi profilurile în:

path-to-firejail/etc/

Dacă ați folosit pachetul rpm/deb, puteți găsi profilurile de securitate în:

/etc/firejail/

Utilizatorii ar trebui să își plaseze profilurile în următorul director:

~/.config/firejail

Dacă doriți să extindeți un profil de securitate existent, puteți utiliza include cu calea către profil și puteți adăuga liniile după aceea. Ar trebui să arate cam așa:

cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Dacă doriți să restricționați accesul aplicației la un anumit director, puteți utiliza o regulă de listă neagră pentru a realiza exact acest lucru. De exemplu, puteți adăuga următoarele la profilul dvs. de securitate:

blacklist ${HOME}/Documents

O altă modalitate de a obține același rezultat este de a descrie de fapt calea completă către folderul pe care doriți să-l restricționați:

blacklist /home/user/Documents

Există multe moduri diferite în care vă puteți configura profilurile de securitate, cum ar fi interzicerea accesului, permiterea accesului numai în citire etc. Dacă sunteți interesat să construiți profiluri personalizate, puteți verifica următoarele instrucțiuni firejail.

Firejail este un instrument minunat pentru utilizatorii care se gândesc la securitate, care doresc să-și protejeze sistemul.