Linux имеет репутацию достаточно безопасной системы, и из трех больших операционных систем у нее гораздо меньше проблем, когда дело касается конфиденциальности. Тем не менее, насколько безопасен Linux, всегда есть возможности для улучшения. Представляем Firejail. Это приложение, которое позволяет пользователям брать любое работающее приложение и «помещать его в тюрьму» или «изолировать». Firejail позволяет изолировать приложение и запретить ему доступ к чему-либо еще в системе. Приложение является самым популярным инструментом для песочницы программ в Linux. Именно из-за этого многие дистрибутивы Linux решили выпускать это программное обеспечение. Вот как получить Firejail в Linux.
ОПОВЕЩЕНИЕ СПОЙЛЕРА: прокрутите вниз и посмотрите видеоурок в конце этой статьи.
Оглавление
Установка
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Не устраивает репо-версия Firejail на Arch? Рассмотрим строительство версия Git из AUR вместо этого.
Fedora
К сожалению, для Fedora нет пакета Firejail. В основных репозиториях этого нет, и нет причин полагать, что это изменится. Пользователи Fedora по-прежнему могут устанавливать программное обеспечение с помощью Copr.
Copr очень похож на PPA в Ubuntu или Arch Linux AUR. Любой пользователь может создать репозиторий Copr и поставить на него программное обеспечение. Существует множество репозиториев FireJail Copr, поэтому, если тот, который мы перечисляем в этой статье, перестает обновляться, не стесняйтесь перейти на сайт и найти замену.
Чтобы установить Firejail в Fedora, выполните:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Как и большинство сторонних программ для Suse, пользователи найдут Firejail в OBS. Версии Firejail можно быстро установить для последних версий Leap и Tumbleweed. Хватай их здесь.
Обязательно нажмите кнопку в один клик для установки через YaST.
Другой
Исходный код Firejail легко доступен и легко компилируется, если вы используете неподдерживаемый дистрибутив Linux.
Для начала установите пакет Git в свою версию Linux. Сделайте это, открыв диспетчер пакетов, выполнив поиск «git» и установив его в систему. Не забудьте также установить любые инструменты сборки, специально предназначенные для вашего дистрибутива Linux, если вы еще этого не сделали (это должно быть легко найти, просто проверьте вики вашего дистрибутива). Например, для компиляции в Debian / Ubuntu требуется сборка.
После установки пакета git в системе используйте его, чтобы загрузить последнюю версию программного обеспечения Firejail.
git clone https://github.com/netblue30/firejail.git
Код есть в системе. Войдите в загруженную папку, чтобы начать процесс сборки с помощью команды cd.
cd firejail
Прежде чем это программное обеспечение сможет скомпилировать, вам необходимо запустить configure. Это просканирует ваш компьютер и сообщит программному обеспечению, что на нем установлено, каковы характеристики и т. Д. Это важно, и без этого программное обеспечение не будет построено.
configure
Программа настроена на компиляцию. Теперь давайте сгенерируем make-файл. В make-файле есть инструкции по сборке программного обеспечения. Сделайте это с помощью команды make.
make
Наконец, установите программное обеспечение firejail в вашу систему:
sudo make install-strip
Использование Firejail
Создать песочницу с Firejail очень просто. Для песочницы базовой программы все, что требуется, — это использовать префикс «firejail» перед вводом команды. Например: чтобы изолировать текстовый редактор Gedit и изолировать его, если остальная часть вашей установки Linux отключена, вы делаете: firejail gedit в терминале. Вот как это работает. Для простой песочницы этого достаточно. Однако из-за того, насколько это сложное программное обеспечение, требуется некоторая настройка.
Например: если вы запустите firejail firefox, браузер Firefox будет работать в заблокированной песочнице, и ничто другое в системе не сможет его коснуться. Это отлично подходит для безопасности. Однако, если вы хотите загрузить изображение в каталог, у вас может не получиться, так как Firejail может не иметь доступа ко всем каталогам в вашей системе и т. Д. В результате вам нужно будет пройти и конкретно перечислить где песочница МОЖЕТ и НЕ МОЖЕТ войти в систему. Вот как это сделать:
Внесение профилей в белый и черный список
Внесение в черный и белый списки зависит от приложения. Нет никакого способа установить глобальные значения по умолчанию для того, к чему могут получить доступ заключенные в тюрьму приложения. В Firejail уже настроено множество файлов конфигурации. Они генерируют разумные значения по умолчанию с этими файлами конфигурации, и в результате базовым пользователям не нужно будет вносить какие-либо изменения. Тем не менее, если вы опытный пользователь, редактирование этих типов файлов может быть полезно.
Откройте терминал и перейдите в / etc / firejail.
cd /etc/firejail
Используйте команду LS для просмотра всего содержимого каталога и используйте конвейер, чтобы сделать каждую страницу доступной для просмотра. Нажмите клавишу ввода, чтобы перейти вниз по странице.
Найдите файл конфигурации для своего приложения и запишите его. В этом мы продолжим пример с Firefox.
ls | more
Откройте профиль Firefox firejail в текстовом редакторе nano.
sudo nano /etc/firejail/firefox.profile
Как говорилось ранее, приложение Firejail имеет нормальные настройки по умолчанию. Это означает, что разработчики настроили параметры по умолчанию, которые должны работать для большинства пользователей. Например: хотя приложение находится в тюрьме, каталог ~ / Downloads и каталоги плагинов в системе доступны. Чтобы добавить больше элементов в этот белый список, перейдите в раздел конфигурационного файла, где все находится в белом списке, и напишите свои собственные правила.
Например, чтобы упростить загрузку фотографий в мой профиль Facebook в версии Firefox firejail, мне нужно добавить:
whitelist ~/Pictures
Та же посылка может быть использована для занесения в черный список. Чтобы изолированная версия Firefox не видела определенные каталоги (неважно какие), не стесняйтесь делать что-то вроде:
blacklist ~/secret/file/area
Сохраните изменения с помощью Ctrl + O
Примечание: «~ /» означает / home / текущего пользователя
Вывод
Sanboxing — отличный способ обезопасить себя от дырявых приложений или злоумышленников, стремящихся украсть ваши данные. Если вы параноик в Linux, вероятно, неплохо было бы серьезно попробовать этот инструмент.