Firejail, безопасно запускать ненадежные приложения в Ubuntu

Damián A.

4 минут

P о пожарной тюрьме

В следующей статье мы рассмотрим Firejail. Может случиться так, что в некоторых случаях вы заинтересованы, по той или иной причине, протестировать более-менее стабильные приложения. В таких случаях беспокоиться о безопасности системы - это нормально. Что-то, что можно сделать в Gnu / Linux, - это использовать эти приложения в песочнице.

Чтобы было ясно, нужно сказать, что "песочница'это способность выполнять приложения в песочнице. Это предоставляет приложению достаточное количество ресурсов, необходимых для запуска. Благодаря приложению Firejail мы сможем безопасно запускать приложения, которым не доверяют в Gnu / Linux. Firejail - это инструмент, разработанный для пользователей, заботящихся о безопасности, которые стремятся защитить свою систему.

Firejail - это программа SUID, которая снижает риск нарушения безопасности за счет ограничения среды выполнения ненадежные приложения, использующие пространства имен и seccomp-bpf. Позволяет процессу и всем его потомкам иметь собственное частное представление глобально общих ресурсов ядра, таких как сетевой стек, таблица процессов, таблица монтирования и т. Д.

Эта программа была написано на C y практически не нужны зависимости. Программное обеспечение работает на любой машине Gnu / Linux с версией ядра 3.x или новее. Песочница легкая, накладные расходы низкие. Здесь нет сложных файлов конфигурации для редактирования, нет открытых соединений сокетов и нет демонов, работающих в фоновом режиме. Все функции безопасности реализованы непосредственно в ядре. Программа выпущена под лицензией GPL v2.

Firejail может выполнять любой тип процесса: серверы, графические приложения и даже сеансы входа в систему. Программное обеспечение включает профили безопасности для большого количества программ Gnu / Linux: Mozilla Firefox, Chromium, VLC, потоковая передача и т. Д.

Общие характеристики Firejail

  • Пространства имен Linux.
  • Контейнер файловой системы.
  • Фильтры безопасности.
  • Совместимость с сетью.
  • Профили безопасности.
  • Распределение ресурсов.
  • Графический пользовательский интерфейс.

Можно найти подробная информация о возможностях Firejail в официальная страница проекта.

Установите Firejail на Ubuntu

Установка может быть сделана загрузка последнего пакета со страницы проекта на Github используя команду git в терминале (Ctrl + Alt + T):

Установка Firejail из исходного кода 

git clone https://github.com/netblue30/firejail.git

cd firejail

./configure && make && sudo make install-strip

Если в вашей системе не установлен git, вы можете установить его с помощью команды:

sudo apt install git

Мы также сможем установите Firejail, загрузив пакет .deb и с помощью диспетчера пакетов. Этот файл можно скачать с SourceForge проект.

Страница загрузки Firejail

После того, как вы загрузили файл, вы можете установить программу, набрав в терминале (Ctrl + Alt + T):

sudo dpkg -i firejail_*.deb

Как запускать приложения с Firejail на Gnu / Linux

После завершения установки вы готовы запускать приложения с Firejail. Это достигается открытием терминала (Ctrl + Alt + T) и писать firejail перед командой, которую мы хотим выполнить.

запуск firefox с firejail 

firejail firefox #Inicia el navegador web Firefox

Создать профиль безопасности

Firejail включает в себя множество профили безопасности для различных приложений. Если вы создали проект из источника вы можете найти профили по адресу:

ruta-a-firejail/etc/

Если вы использовали пакет deb, вы можете найти профили безопасности в:

/etc/firejail/

Пользователи должны поместите профили, которые будут использоваться, в следующий каталог:

~/.config/firejail

Если то, что вы хотите ограничить доступ приложения к определенному каталогу, вы можете использовать правило черного списка, чтобы добиться именно этого. Например, в ваш профиль безопасности можно добавить следующее, чтобы ограничить доступ к папке «Документы»:

blacklist ${HOME}/Documentos

Другой способ добиться того же результата - написать полный путь к папке, которую мы хотим ограничить:

blacklist /home/user/Documentos

Профили безопасности можно настроить разными способами. Вы можете отключить доступ, разрешить доступ только для чтения и т. Д. Если вы заинтересованы в создавать собственные профилиВы можете обратитесь к следующим инструкциям FireJail.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.