Firejail - turvaliselt käivitage ebausaldusväärsed rakendused Linuxis


Mõnikord võiksite kasutada rakendusi, mida pole erinevates keskkondades hästi testitud, kuid peate siiski neid kasutama. Sellistel juhtudel on normaalne olla mures oma süsteemi turvalisuse pärast. Üks asi, mida saab Linuxis teha, on liivakastis olevate rakenduste kasutamine.

\ "Liivakast" on võime käivitada rakendust piiratud keskkonnas. Nii pakutakse rakendusele väiksemat ressursside hulka, mis on vajalik käitamiseks. Tänu rakendusele nimega Firejail saate Linuxis usaldusväärselt käivitada ebausaldusväärseid rakendusi.

Firejail on rakendus SUID (Set Owner User ID), mis vähendab turvarikkumiste ohtu, piirates ebausaldusväärsete programmide jooksvat keskkonda, kasutades Linuxi nimeruume ja seccomp-bpf.

See paneb protsessi ja selle kõik järeltulijad omama oma salajast ülevaadet ülemaailmselt jagatud tuuma ressurssidest, näiteks võrgupinu, protsessitabelit, ühendustabelit.

Mõned funktsioonid, mida Firejail kasutab:

  • Linuxi nimeruumid
  • failisüsteemi konteiner
  • Turvafiltrid
  • Võrgustikutugi
  • Ressursside jaotamine

Üksikasjalikku teavet Firejaili funktsioonide kohta leiate ametlikult lehelt.

Kuidas installida Firejaili Linuxi

Installimise saab lõpetada, laadides projekti githubi lehelt alla uusima paketi, kasutades käsku git, nagu näidatud.

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Kui teil pole oma süsteemi installitud gitit, saate selle installida:

$ sudo apt install git  [On Debian/Ubuntu]
# yum install git       [On CentOS/RHEL]
# dnf install git       [On Fedora 22+]

Alternatiivne viis firejaili installimiseks on alla laadida Linuxi distributsiooniga seotud pakett ja installida see koos paketihalduriga. Faile saab alla laadida projekti SourceForge lehelt. Kui olete faili alla laadinud, saate selle installida:

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Kuidas käivitada rakendusi Firejailiga Linuxis

Nüüd olete valmis rakendusi firejailiga käitama. Selle saavutamiseks käivitatakse terminal ja lisatakse firejail enne käsku, mida soovite käivitada.

Siin on näide:

$ firejail firefox    #start Firefox web browser
$ firejail vlc        # start VLC player

Firejail sisaldab palju turvaprofiile erinevatele rakendustele ja need on salvestatud:

/etc/firejail

Kui olete projekti koostanud allikast, leiate profiilid:

# path-to-firejail/etc/

Kui olete kasutanud paketti rpm/deb, leiate turbeprofiilid:

/etc/firejail/

Kasutajad peaksid paigutama oma profiilid järgmisesse kataloogi:

~/.config/firejail

Kui soovite olemasolevat turbeprofiili laiendada, saate kasutada funktsiooni include with path profiilini ja lisada seejärel oma read. See peaks välja nägema umbes selline:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Kui soovite piirata rakenduse juurdepääsu teatud kataloogile, võite selle saavutamiseks kasutada musta nimekirja reeglit. Näiteks võite oma turbeprofiilile lisada järgmise:

blacklist ${HOME}/Documents

Teine viis sama tulemuse saavutamiseks on tegelikult kirjeldada täielikku teed kausta, mida soovite piirata:

blacklist /home/user/Documents

Turvaprofiilide konfigureerimiseks on palju erinevaid viise, näiteks juurdepääsu keelamine, kirjutuskaitstud juurdepääsu lubamine jne. Kui olete huvitatud kohandatud profiilide koostamisest, saate kontrollida järgmisi firejaili juhiseid.

Firejail on vinge tööriist turvalisust silmas pidavatele kasutajatele, kes soovivad oma süsteemi kaitsta.