Jak skonfigurować Firejail w systemie Linux

Linux ma reputację dość bezpiecznego, a spośród trzech wielkich systemów operacyjnych napotyka znacznie mniej problemów, jeśli chodzi o prywatność. Mimo to, tak bezpieczny, jak może być Linux, zawsze jest miejsce na ulepszenia. Przedstawiamy Firejail. Jest to aplikacja, która umożliwia użytkownikom pobranie dowolnej działającej aplikacji i „uwięzienie jej” lub „piaskownicę”. Firejail pozwala odizolować aplikację i uniemożliwić jej dostęp do czegokolwiek innego w systemie. Aplikacja jest najpopularniejszym narzędziem do piaskownicy programów w systemie Linux. Z tego powodu wiele dystrybucji Linuksa zdecydowało się na wysyłkę tego oprogramowania. Oto jak zdobyć Firejail w systemie Linux.

OSTRZEŻENIE SPOILERA: Przewiń w dół i obejrzyj samouczek wideo na końcu tego artykułu.

Instalacja

Ubuntu

sudo apt install firejail

Debian

sudo apt-get install firejail

Arch Linux

sudo pacman -S firejail

Nie jesteś zadowolony z wersji repozytorium Firejail na Arch? Rozważ budowę wersja Git z AUR.

Fedora

Niestety, nie ma pakietu Firejail dla Fedory, który można by zobaczyć. Główne repozytoria tego nie mają i nie ma powodu, aby sądzić, że to się zmieni. Użytkownicy Fedory mogą nadal instalować oprogramowanie za pomocą Copr.

Copr jest bardzo podobny do PPA na Ubuntu lub Arch Linux AUR. Każdy użytkownik może utworzyć repozytorium Copr i zainstalować na nim oprogramowanie. Istnieje wiele repozytoriów FireJail Copr, więc jeśli ten, który wymieniliśmy w tym artykule, przestaje się aktualizować, nie krępuj się przejdź do strony internetowej i znajdź zamiennik.

Aby pobrać Firejaila w Fedorze, wykonaj:

sudo dnf copr enable ssabchew/firejail

sudo dnf install firejail

OpenSUSE

Podobnie jak większość oprogramowania innych firm dla Suse, użytkownicy znajdą Firejail w OBS. Wersje Firejail można szybko zainstalować dla najnowszych wersji Leap i Tumbleweed. Zdobądź je tutaj.

Pamiętaj, aby kliknąć przycisk 1 kliknięciem, aby zainstalować przez YaST.

Inny

Kod źródłowy Firejail jest łatwo dostępny i łatwy do skompilowania, jeśli korzystasz z nieobsługiwanej dystrybucji Linuksa.

Aby rozpocząć, zainstaluj pakiet Git w swojej wersji systemu Linux. Zrób to, otwierając menedżera pakietów, wyszukując „git” i instalując go w systemie. Upewnij się, że zainstalowałeś również specjalne narzędzia do kompilacji dla swojej dystrybucji Linuksa, jeśli jeszcze tego nie zrobiłeś (powinno być łatwe do znalezienia, po prostu sprawdź wiki swojej dystrybucji). Na przykład kompilacja w systemie Debian / Ubuntu wymaga build-essential.

Po zainstalowaniu pakietu git w systemie użyj go do pobrania najnowszej wersji oprogramowania Firejail.

git clone https://github.com/netblue30/firejail.git

Kod jest w systemie. Wprowadź pobrany folder, aby rozpocząć proces budowania za pomocą polecenia cd.

cd firejail

Zanim to oprogramowanie będzie mogło się skompilować, musisz uruchomić konfigurację. Spowoduje to przeskanowanie komputera i poinformowanie oprogramowania, jakie jest jego wyposażenie, jakie są specyfikacje itp. Jest to ważne, a bez niego oprogramowanie nie zostanie zbudowane.

configure

Program jest skonfigurowany do kompilacji. Teraz wygenerujmy plik makefile. Plik makefile zawiera instrukcje tworzenia oprogramowania. Zrób to za pomocą polecenia make.

make

Na koniec zainstaluj oprogramowanie firejail w swoim systemie:

sudo make install-strip

Korzystanie z Firejail

Sandboxowanie czegoś z Firejail jest łatwe. W przypadku podstawowego programu sandbox wystarczy użyć przedrostka „firejail” przed wprowadzeniem polecenia. Na przykład: do Sandbox, edytora tekstu Gedit i silosu, jeśli poza resztą instalacji Linuksa, wykonaj: firejail gedit w terminalu. Tak to działa. W przypadku prostego piaskownicy to wystarczy. Jednak ze względu na to, jak skomplikowane jest to oprogramowanie, wymagana jest pewna konfiguracja.

Na przykład: jeśli uruchomisz firejail firefox, przeglądarka Firefox będzie działać w zablokowanej piaskownicy i nic innego w systemie nie będzie w stanie jej dotknąć. To jest świetne dla bezpieczeństwa. Jeśli jednak chcesz pobrać obraz do katalogu, możesz nie być w stanie tego zrobić, ponieważ Firejail może nie mieć dostępu do każdego katalogu w twoim systemie itp. W rezultacie będziesz musiał przejść i konkretnie wyszczególnić gdzie piaskownica MOŻE i NIE MOŻE przejść do systemu. Oto jak to zrobić:

Biała lista profilu i czarna lista

Czarna lista i biała lista to kwestia poszczególnych aplikacji. Nie ma sposobu na ustawienie globalnych ustawień domyślnych, do których mają dostęp aplikacje uwięzione. Firejail ma już skonfigurowanych wiele plików konfiguracyjnych. Generują rozsądne wartości domyślne za pomocą tych plików konfiguracyjnych, w wyniku czego zwykli użytkownicy nie będą musieli dokonywać żadnej edycji. Mimo to, jeśli jesteś zaawansowanym użytkownikiem, edytowanie tego typu plików może być przydatne.

Otwórz terminal i przejdź do / etc / firejail.

cd /etc/firejail

Użyj polecenia LS, aby wyświetlić całą zawartość katalogu, i użyj potoku, aby wyświetlić każdą stronę. Naciśnij klawisz Enter, aby przejść w dół strony.

Znajdź plik konfiguracyjny dla swojej aplikacji i zanotuj go. W tym miejscu będziemy kontynuować przykład przeglądarki Firefox.

ls | more

Otwórz profil Firefox firejail w edytorze tekstu nano.

sudo nano /etc/firejail/firefox.profile

Jak wspomniano wcześniej, aplikacja Firejail ma rozsądne ustawienia domyślne. Oznacza to, że programiści przeszli i skonfigurowali ustawienia domyślne, które powinny działać dla większości użytkowników. Na przykład: chociaż aplikacja jest uwięziona, katalog ~ / Downloads i katalogi wtyczek w systemie są dostępne. Aby dodać więcej elementów do tej białej listy, przejdź do sekcji pliku konfiguracyjnego, w której wszystko jest na białej liście, i napisz własne reguły.

Na przykład, aby ułatwić przesyłanie zdjęć do mojego profilu na Facebooku w Firefoksie w wersji firejail, muszę dodać:

whitelist ~/Pictures

To samo założenie można wykorzystać do umieszczenia na czarnej liście. Aby wersja przeglądarki Firefox w trybie piaskownicy nie widziała określonych katalogów (bez względu na wszystko), możesz zrobić coś takiego:

blacklist ~/secret/file/area

Zapisz zmiany za pomocą Ctrl + O

Uwaga: „~ /” oznacza / home / current user

Wniosek

Sanboxing to doskonały sposób na zabezpieczenie się przed nieszczelnymi aplikacjami lub złymi aktorami, którzy chcą ukraść Twoje dane. Jeśli masz paranoję w Linuksie, prawdopodobnie dobrym pomysłem jest poważne podejście do tego narzędzia.