Firejail - Suorita epäluotettavat sovellukset turvallisesti Linuxissa

Joskus haluat ehkä käyttää sovelluksia, joita ei ole testattu hyvin eri ympäristöissä, mutta sinun on kuitenkin käytettävä niitä. Tällaisissa tapauksissa on normaalia olla huolissasi järjestelmän turvallisuudesta. Yksi asia, joka voidaan tehdä Linuxissa, on käyttää sovelluksia hiekkalaatikossa.

\ "Hiekkalaatikko" on kyky ajaa sovellusta rajoitetussa ympäristössä. Näin sovellukselle tarjotaan tiukempi määrä resursseja, joita tarvitaan suoritukseen. Firejail-nimisen sovelluksen ansiosta voit turvallisesti käyttää epäluotettavia sovelluksia Linuxissa.

Firejail on SUID (Set Owner User ID) -sovellus, joka vähentää tietoturvaloukkausten altistumista rajoittamalla epäluotettavien ohjelmien käyttöympäristöä käyttämällä Linux-nimitiloja ja seccomp-bpf-tiedostoja.

Se saa prosessin ja kaikki sen jälkeläiset saamaan oman salaisen näkymän maailmanlaajuisesti jaetuista ytimen resursseista, kuten verkkopino, prosessitaulukko, kiinnitystaulukko.

Jotkut Firejailin käyttämistä ominaisuuksista:

  • Linux-nimitilat
  • tiedostojärjestelmän säilö
  • suojaussuodattimet
  • verkostoitumistuki
  • Resurssien kohdentaminen

Yksityiskohtaista tietoa Firejailin ominaisuuksista löytyy viralliselta sivulta.

Kuinka asentaa Firejail Linuxiin

Asennus voidaan suorittaa lataamalla uusin paketti projektin github-sivulta git-komennolla kuvan osoittamalla tavalla.

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Jos järjestelmääsi ei ole asennettu git, voit asentaa sen seuraavilla tavoilla:

$ sudo apt install git  [On Debian/Ubuntu]
# yum install git       [On CentOS/RHEL]
# dnf install git       [On Fedora 22+]

Vaihtoehtoinen tapa asentaa firejail on ladata Linux-jakeluun liittyvä paketti ja asentaa se sen paketinhallinnalla. Tiedostot voi ladata projektin SourceForge-sivulta. Kun tiedosto on ladattu, voit asentaa sen seuraavilla tavoilla:

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Kuinka ajaa sovelluksia Firejaililla Linuxissa

Olet nyt valmis ajamaan sovelluksiasi firejaililla. Tämä saavutetaan käynnistämällä pääte ja lisäämällä firejail ennen suoritettavaa komentoa.

Tässä on esimerkki:

$ firejail firefox    #start Firefox web browser
$ firejail vlc        # start VLC player

Firejail sisältää monia suojausprofiileja eri sovelluksille, ja ne tallennetaan:

/etc/firejail

Jos olet rakentanut projektin lähteestä, löydät profiilit:

# path-to-firejail/etc/

Jos olet käyttänyt rpm/deb-pakettia, löydät suojausprofiilit:

/etc/firejail/

Käyttäjien tulisi sijoittaa profiilinsa seuraavaan hakemistoon:

~/.config/firejail

Jos haluat laajentaa olemassa olevaa suojausprofiilia, voit käyttää sisällytä profiilin polkuun ja lisätä rivisi sen jälkeen. Tämän pitäisi näyttää tältä:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Jos haluat rajoittaa sovelluksen pääsyä tiettyyn hakemistoon, voit käyttää mustan listan sääntöä sen saavuttamiseksi. Voit esimerkiksi lisätä seuraavat suojausprofiiliin:

blacklist ${HOME}/Documents

Toinen tapa saavuttaa sama tulos on kuvata rajoitetun kansion koko polku:

blacklist /home/user/Documents

Suojausprofiileja voi määrittää monella eri tavalla, kuten pääsyn estäminen, vain luku -oikeuden salliminen jne. Jos olet kiinnostunut mukautettujen profiilien luomisesta, voit tarkistaa seuraavat firejail-ohjeet.

Firejail on mahtava työkalu turvallisuutta ajatteleville käyttäjille, jotka haluavat suojata järjestelmäänsä.