Weboldal keresés

Firejail – Nem megbízható alkalmazások biztonságos futtatása Linuxon


Előfordulhat, hogy olyan alkalmazásokat szeretne használni, amelyeket nem teszteltek jól különböző környezetekben, mégis használnia kell őket. Ilyen esetekben normális, hogy aggódik rendszere biztonsága miatt. Az egyik dolog, amit Linuxban meg lehet tenni, az alkalmazások homokozóban történő használata.

A „Sandboxing” az alkalmazás korlátozott környezetben való futtatásának képessége. Így az alkalmazás szűkebb mennyiségű erőforrást kap a futtatáshoz. A Firejail nevű alkalmazásnak köszönhetően biztonságosan futtathat nem megbízható alkalmazásokat Linuxon.

A Firejail egy SUID (Set Owner User ID) alkalmazás, amely csökkenti a biztonsági rések kockázatát azáltal, hogy korlátozza a nem megbízható programok futó környezetét Linux névterek és seccomp-bpf használatával. .

Lehetővé teszi egy folyamatnak és minden leszármazottjának saját titkos nézetét a globálisan megosztott kernelerőforrásokról, például a hálózati veremről, a folyamattábláról és a csatolási tábláról.

A Firejail által használt néhány szolgáltatás:

  • Linux névterek
  • Fájlrendszer-tároló
  • Biztonsági szűrők
  • Hálózati támogatás
  • Forráselosztás

A Firejail szolgáltatásaival kapcsolatos részletes információk a hivatalos oldalon találhatók.

A Firejail telepítése Linux alatt

A telepítés befejezhető a legújabb csomag letöltésével a projekt github oldaláról a git paranccsal az ábrán látható módon.

git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip

Ha nincs telepítve a git a rendszerére, telepítheti a következővel:

sudo apt install git  [On Debian/Ubuntu]
yum install git       [On CentOS/RHEL]
dnf install git       [On Fedora 22+]

A firejail telepítésének másik módja, ha letölti a Linux disztribúciójához társított csomagot, és telepíti a csomagkezelőjével. A fájlok a projekt SourceForge oldaláról tölthetők le. Miután letöltötte a fájlt, telepítheti a következővel:

sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Alkalmazások futtatása Firejail segítségével Linux alatt

Most már készen áll az alkalmazások firejail használatával való futtatására. Ez úgy érhető el, hogy elindít egy terminált, és hozzáadja a firejail parancsot a futtatni kívánt parancs elé.

Íme egy példa:

firejail firefox    #start Firefox web browser
firejail vlc        # start VLC player

Biztonsági profil létrehozása

A Firejail számos biztonsági profilt tartalmaz a különböző alkalmazásokhoz, és ezek a következő helyen tárolódnak:

/etc/firejail

Ha a projektet forrásból építette fel, a profilokat itt találja:

path-to-firejail/etc/

Ha az rpm/deb csomagot használta, a biztonsági profilokat itt találja:

/etc/firejail/

A felhasználóknak el kell helyezniük profiljukat a következő könyvtárba:

~/.config/firejail

Ha egy meglévő biztonsági profilt szeretne kibővíteni, használhatja az include elemet a profil elérési útjával, és utána adhatja hozzá a sorait. Ennek valahogy így kell kinéznie:

cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Ha korlátozni szeretné az alkalmazások hozzáférését bizonyos könyvtárakra, használhatja a feketelista szabályt, hogy pontosan ezt érje el. Például a következőket adhatja hozzá biztonsági profiljához:

blacklist ${HOME}/Documents

Ugyanezen eredmény elérésének másik módja, ha leírja a korlátozni kívánt mappa teljes elérési útját:

blacklist /home/user/Documents

Számos különböző módon konfigurálhatja biztonsági profiljait, például letilthatja a hozzáférést, engedélyezheti az írásvédett hozzáférést stb. Ha egyéni profilok készítése érdekli, tekintse meg a következő firejail utasításokat.

A Firejail egy nagyszerű eszköz a biztonságra törekvő felhasználók számára, akik meg akarják védeni rendszerüket.