Firejail - Suorita turvallisesti epäluotettavia sovelluksia Linuxissa
Joskus saatat haluta käyttää sovelluksia, joita ei ole testattu hyvin eri ympäristöissä, mutta sinun on kuitenkin käytettävä niitä. Tällaisissa tapauksissa on normaalia olla huolissaan järjestelmäsi turvallisuudesta. Yksi asia, joka voidaan tehdä Linuxissa, on käyttää sovelluksia hiekkalaatikossa.
"Sandboxing" on kyky suorittaa sovellusta rajoitetussa ympäristössä. Näin sovellukselle tarjotaan tiukempi määrä resursseja, joita tarvitaan suorittamaan. Firejail-nimisen sovelluksen ansiosta voit turvallisesti ajaa epäluotettavia sovelluksia Linuxissa.
Firejail on SUID (Set Owner User ID) -sovellus, joka vähentää tietoturvaloukkausten riskiä rajoittamalla epäluotettavien ohjelmien käyttöympäristöä käyttämällä Linux-nimiavaruuksia ja seccomp-bpf. .
Se tekee prosessista ja sen jälkeläisistä omat salaisen näkemyksensä maailmanlaajuisesti jaetuista ydinresursseista, kuten verkkopinosta, prosessitaulukosta ja asennustaulukosta.
Joitakin Firejailin käyttämiä ominaisuuksia:
- Linuxin nimiavaruudet
- Tiedostojärjestelmän säilö
- Turvasuodattimet
- Verkkotuki
- Resurssien kohdentaminen
Yksityiskohtaiset tiedot Firejail-ominaisuuksista löytyvät viralliselta sivulta.
Kuinka asentaa Firejail Linuxiin
Asennus voidaan suorittaa loppuun lataamalla uusin paketti projektin github-sivulta käyttämällä git-komentoa kuvan mukaisesti.
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
Jos sinulla ei ole gitiä asennettuna järjestelmääsi, voit asentaa sen seuraavasti:
sudo apt install git [On Debian/Ubuntu]
yum install git [On CentOS/RHEL]
dnf install git [On Fedora 22+]
Vaihtoehtoinen tapa asentaa firejail on ladata Linux-jakeluusi liittyvä paketti ja asentaa se paketinhallinnan avulla. Tiedostot voi ladata projektin SourceForge-sivulta. Kun olet ladannut tiedoston, voit asentaa sen seuraavasti:
sudo dpkg -i firejail_X.Y_1_amd64.deb [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm [On CentOS/RHEL/Fedora]
Kuinka suorittaa sovelluksia Firejaililla Linuxissa
Olet nyt valmis suorittamaan sovelluksiasi firejaililla. Tämä saavutetaan käynnistämällä pääte ja lisäämällä firejail ennen komentoa, jonka haluat suorittaa.
Tässä on esimerkki:
firejail firefox #start Firefox web browser
firejail vlc # start VLC player
Luo suojausprofiili
Firejail sisältää useita suojausprofiileja eri sovelluksille ja ne on tallennettu:
/etc/firejail
Jos olet rakentanut projektin lähteestä, löydät profiilit:
path-to-firejail/etc/
Jos olet käyttänyt rpm/deb-pakettia, löydät suojausprofiilit osoitteesta:
/etc/firejail/
Käyttäjien tulee sijoittaa profiilinsa seuraavaan hakemistoon:
~/.config/firejail
Jos haluat laajentaa olemassa olevaa suojausprofiilia, voit käyttää include-toimintoa profiilin polun kanssa ja lisätä rivisi jälkeenpäin. Tämän pitäisi näyttää suunnilleen tältä:
cat ~/.config/firejail/vlc.profile
include /etc/firejail/vlc.profile
net none
Jos haluat rajoittaa sovelluksen pääsyn tiettyyn hakemistoon, voit käyttää mustan listan sääntöä saavuttaaksesi juuri sen. Voit esimerkiksi lisätä seuraavan tietoturvaprofiiliisi:
blacklist ${HOME}/Documents
Toinen tapa saavuttaa sama tulos on itse asiassa kuvata koko polku kansioon, jota haluat rajoittaa:
blacklist /home/user/Documents
Voit määrittää suojausprofiileja monilla eri tavoilla, kuten estää pääsyn, sallia vain luku -käytön jne. Jos olet kiinnostunut rakentamaan mukautettuja profiileja, voit tarkistaa seuraavat firejail-ohjeet.
Firejail on mahtava työkalu turvallisuusmielisille käyttäjille, jotka haluavat suojata järjestelmäänsä.