Firejail - Keyra ótraust forrit á öruggan hátt í Linux

Stundum gætirðu viljað nota forrit sem hafa ekki verið vel prófuð í mismunandi umhverfi, samt verður þú að nota þau. Í slíkum tilvikum er eðlilegt að hafa áhyggjur af öryggi kerfisins. Eitt sem hægt er að gera í Linux er að nota forrit í sandkassa.

\Sandboxing er hæfileikinn til að keyra forrit í takmörkuðu umhverfi. Þannig er forritinu útvegað þétt magn af tilföngum sem þarf til að keyra. Þökk sé forriti sem kallast Firejail geturðu keyrt ótraust forrit á Linux á öruggan hátt.

Firejail er SUID (Set Owner User ID) forrit sem dregur úr útsetningu öryggisbrota með því að takmarka keyrsluumhverfi ótrausts forrita sem nota Linux nafnrými og seccomp-bpf.

Það gerir ferli og alla afkomendur þess til að hafa sína eigin leynilegu sýn á alþjóðlegum sameiginlegum kjarnaauðlindum, svo sem netstafla, vinnslutöflu, festingartöflu.

Sumir eiginleikar sem Firejail notar:

  • Linux nafnarými
  • Gámur skráakerfis
  • Öryggissíur
  • Stuðningur við netkerfi
  • Aðfangaúthlutun

Ítarlegar upplýsingar um Firejail eiginleika má finna á opinberu síðunni.

Hvernig á að setja upp Firejail í Linux

Hægt er að ljúka uppsetningunni með því að hlaða niður nýjasta pakkanum af github síðu verkefnisins með því að nota git skipunina eins og sýnt er.

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Ef þú ert ekki með git uppsett á kerfinu þínu geturðu sett það upp með:

$ sudo apt install git  [On Debian/Ubuntu]
# yum install git       [On CentOS/RHEL]
# dnf install git       [On Fedora 22+]

Önnur leið til að setja upp firejail er að hlaða niður pakkanum sem tengist Linux dreifingunni þinni og setja hann upp með pakkastjóranum. Hægt er að hlaða niður skrám frá SourceForge síðu verkefnisins. Þegar þú hefur hlaðið niður skránni geturðu sett hana upp með:

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Hvernig á að keyra forrit með Firejail í Linux

Þú ert nú tilbúinn til að keyra forritin þín með firejail. Þetta er gert með því að ræsa flugstöð og bæta við eldfangelsi á undan skipuninni sem þú vilt keyra.

Hér er dæmi:

$ firejail firefox    #start Firefox web browser
$ firejail vlc        # start VLC player

Firejail inniheldur mörg öryggissnið fyrir mismunandi forrit og þau eru geymd í:

/etc/firejail

Ef þú hefur byggt verkefnið frá uppruna geturðu fundið sniðin í:

# path-to-firejail/etc/

Ef þú hefur notað rpm/deb pakkann geturðu fundið öryggissniðin í:

/etc/firejail/

Notendur ættu að setja prófíla sína í eftirfarandi möppu:

~/.config/firejail

Ef þú vilt stækka núverandi öryggissnið geturðu notað innihalda með slóð að prófílnum og bætt við línunum þínum eftir það. Þetta ætti að líta einhvern veginn svona út:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Ef þú vilt takmarka aðgang að forriti við ákveðna möppu geturðu notað svartan listareglu til að ná nákvæmlega því. Til dæmis geturðu bætt eftirfarandi við öryggissniðið þitt:

blacklist ${HOME}/Documents

Önnur leið til að ná sömu niðurstöðu er að lýsa í raun fullri leiðinni að möppunni sem þú vilt takmarka:

blacklist /home/user/Documents

Það eru margar mismunandi leiðir til að stilla öryggissniðin þín, svo sem að banna aðgang, leyfa skrifvarinn aðgang o.s.frv. Ef þú hefur áhuga á að búa til sérsniðin snið geturðu skoðað eftirfarandi eldfangelsleiðbeiningar.

Firejail er frábært tæki fyrir öryggissinnaða notendur sem vilja vernda kerfið sitt.