Firejail - droši palaidiet neuzticamas lietojumprogrammas Linux

Dažreiz jūs varētu vēlēties izmantot lietojumprogrammas, kas nav labi pārbaudītas dažādās vidēs, tomēr tās jālieto. Šādos gadījumos ir normāli uztraukties par savas sistēmas drošību. Viena lieta, ko var izdarīt operētājsistēmā Linux, ir lietotņu izmantošana smilškastē.

“Sandboxing” ir iespēja palaist lietojumprogrammas ierobežotā vidē. Tādā veidā lietojumprogrammai tiek nodrošināts stingrāks resursu daudzums, kas nepieciešams darbībai. Pateicoties lietojumprogrammai Firejail, jūs varat droši palaist neuzticamas lietojumprogrammas Linux.

Firejail ir SUID (Set Owner User ID) lietojumprogramma, kas samazina drošības pārkāpumu iedarbību, ierobežojot neuzticamu programmu darbības vidi, izmantojot Linux nosaukumvietas un seccomp-bpf.

Tas padara procesu un visus tā pēcnācējus par savu slepeno skatu uz globāli kopīgotajiem kodola resursiem, piemēram, tīkla kaudze, procesu tabula, pievienošanas tabula.

Dažas no funkcijām, kuras izmanto Firejail:

  • Linux nosaukumvietas
  • failu sistēmas konteiners
  • drošības filtri
  • Tīkla atbalsts
  • Resursu piešķiršana

Detalizētu informāciju par Firejail funkcijām var atrast oficiālajā lapā.

Kā instalēt Firejail Linux

Instalāciju var pabeigt, lejupielādējot jaunāko pakotni no projekta github lapas, izmantojot komandu git, kā parādīts.

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Ja jūsu sistēmā nav instalēts git, varat to instalēt, izmantojot:

$ sudo apt install git  [On Debian/Ubuntu]
# yum install git       [On CentOS/RHEL]
# dnf install git       [On Fedora 22+]

Alternatīvs veids, kā instalēt firejail, ir lejupielādēt ar Linux izplatīšanu saistīto pakotni un instalēt to kopā ar pakotņu pārvaldnieku. Failus var lejupielādēt no projekta SourceForge lapas. Kad fails ir lejupielādēts, varat to instalēt, izmantojot:

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Kā palaist lietojumprogrammas ar Firejail Linux

Tagad esat gatavs palaist lietojumprogrammas ar firejail. Tas tiek panākts, palaižot termināli un pievienojot firejail pirms komandas, kuru vēlaties izpildīt.

Šeit ir piemērs:

$ firejail firefox    #start Firefox web browser
$ firejail vlc        # start VLC player

Firejail ietver daudz drošības profilu dažādām lietojumprogrammām, un tie tiek glabāti:

/etc/firejail

Ja esat izveidojis projektu no avota, profilus varat atrast:

# path-to-firejail/etc/

Ja esat izmantojis paketi rpm/deb, drošības profilus varat atrast:

/etc/firejail/

Lietotājiem profilus vajadzētu ievietot šajā direktorijā:

~/.config/firejail

Ja vēlaties paplašināt esošu drošības profilu, varat izmantot iekļaušanu ar ceļu uz profilu un pēc tam pievienot rindas. Tam vajadzētu izskatīties apmēram šādi:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Ja vēlaties ierobežot piekļuvi lietojumprogrammai noteiktam direktorijam, varat to izmantot, izmantojot melnā saraksta kārtulu. Piemēram, savam drošības profilam varat pievienot:

blacklist ${HOME}/Documents

Vēl viens veids, kā sasniegt to pašu rezultātu, ir faktiski aprakstīt pilnu ceļu uz mapi, kuru vēlaties ierobežot:

blacklist /home/user/Documents

Ir daudz dažādu veidu, kā varat konfigurēt savus drošības profilus, piemēram, piekļuves aizliegšana, piekļuve tikai lasīšanai utt. Ja jūs interesē pielāgotu profilu veidošana, varat pārbaudīt šīs firejail instrukcijas.

Firejail ir lielisks rīks lietotājiem, kuri domā par drošību, kuri vēlas aizsargāt savu sistēmu.