Firejail - Sécher Run Untrusted Uwendungen am Linux


Heiansdo wëllt Dir Applikatiounen benotzen déi net gutt a verschiddenen Ëmfeld getest goufen, awer Dir musst se benotzen. An esou Fäll ass et normal iwwer d'Sécherheet vun Ärem System besuergt ze sinn. Eng Saach déi am Linux gemaach ka ginn ass Uwendungen an enger Sandkëscht ze benotzen.

\Sandboxing ass d'Fähegkeet Applikatioun an engem limitéiert Ëmfeld ze lafen. Sou gëtt d'Applikatioun eng tighten Quantitéit vun Ressourcen zur Verfügung gestallt, néideg fir ze lafen. Dank Applikatioun genannt Firejail, Dir kënnt sécher untrusted Uwendungen am Linux lafen.

Firejail ass eng SUID (Set Owner User ID) Applikatioun déi d'Belaaschtung vu Sécherheetsverstéiss reduzéiert andeems d'Lafenëmfeld vun net zouverléissege Programmer limitéiert mat Linux Nummraim a seccomp-bpf.

Et mécht e Prozess an all seng Nokommen fir hir eege geheim Vue vun de weltwäit gedeelt Kernel Ressourcen ze hunn, wéi de Reseau Stack, Prozess Dësch, Montéierung Dësch.

E puer vun de Funktiounen déi Firejail benotzt:

  • Linux Nummraim
  • Dateiesystem Container
  • Sécherheetsfilter
  • Network Support
  • Ressourceallokatioun

Detailléiert Informatioun iwwer Firejail Features kënnen op der offizieller Säit fonnt ginn.

Wéi installéiere Firejail op Linux

D'Installatioun kann ofgeschloss ginn andeems Dir dee leschte Package vun der Github Säit vum Projet eroflueden mat dem git Kommando wéi gewisen.

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

Am Fall wou Dir kee Git op Ärem System installéiert hutt, kënnt Dir et installéieren mat:

$ sudo apt install git  [On Debian/Ubuntu]
# yum install git       [On CentOS/RHEL]
# dnf install git       [On Fedora 22+]

Eng alternativ Manéier fir Firejail z'installéieren ass de Package erofzelueden, deen mat Ärer Linux Verdeelung assoziéiert ass an et mat sengem Package Manager z'installéieren. Dateien kënnen op der SourceForge Säit vum Projet erofgeluede ginn. Wann Dir d'Datei erofgelueden hutt, kënnt Dir se installéieren mat:

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Wéi lafen Uwendungen mat Firejail op Linux

Dir sidd elo prett fir Är Uwendungen mat Firejail ze lafen. Dëst gëtt erreecht andeems Dir en Terminal lancéiert an Firejail bäidréit virum Kommando deen Dir wëllt lafen.

Hei ass e Beispill:

$ firejail firefox    #start Firefox web browser
$ firejail vlc        # start VLC player

Firejail enthält vill Sécherheetsprofile fir verschidden Uwendungen a si ginn an:

/etc/firejail

Wann Dir de Projet aus der Quell gebaut hutt, fannt Dir d'Profiler an:

# path-to-firejail/etc/

Wann Dir den rpm/deb Package benotzt hutt, fannt Dir d'Sécherheetsprofile an:

/etc/firejail/

Benotzer, sollten hir Profiler an de folgende Verzeechnes placéieren:

~/.config/firejail

Wann Dir wëllt e bestehend Sécherheet Profil ze verlängeren, Dir kënnt enthalen mat Wee op de Profil benotzen an Är Linnen duerno. Dëst sollt sou eppes ausgesinn:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Wann Dir den Zougang vun der Applikatioun op e bestëmmte Verzeechnes beschränke wëllt, kënnt Dir eng Schwaarzlëscht Regel benotze fir genau dat z'erreechen. Zum Beispill kënnt Dir déi folgend op Äre Sécherheetsprofil addéieren:

blacklist ${HOME}/Documents

En anere Wee fir datselwecht Resultat z'erreechen ass tatsächlech de ganze Wee an den Dossier ze beschreiwen deen Dir wëllt beschränken:

blacklist /home/user/Documents

Et gi vill verschidde Manéieren, wéi Dir Är Sécherheetsprofile konfiguréieren, wéi z.B. Zougang ze verzichten, Liesen-Zougang z'erméiglechen etc.. Wann Dir interesséiert sidd fir personaliséiert Profiler ze bauen, kënnt Dir déi folgend Firejail-Instruktioune kucken.

Firejail ass en fantastescht Tool fir d'Sécherheet minded Benotzer, déi hire System schützen wëllen.