Firejail - Εκτελέστε με ασφάλεια μη αξιόπιστες εφαρμογές στο Linux

Μερικές φορές μπορεί να θέλετε να χρησιμοποιήσετε εφαρμογές που δεν έχουν δοκιμαστεί καλά σε διαφορετικά περιβάλλοντα, ωστόσο πρέπει να τις χρησιμοποιήσετε. Σε τέτοιες περιπτώσεις, είναι φυσιολογικό να ανησυχείτε για την ασφάλεια του συστήματός σας. Ένα πράγμα που μπορεί να γίνει στο Linux είναι η χρήση εφαρμογών σε ένα sandbox.

Το "Sandboxing " είναι η δυνατότητα εκτέλεσης εφαρμογής σε περιορισμένο περιβάλλον. Με αυτόν τον τρόπο παρέχεται στην εφαρμογή ένας περιορισμένος αριθμός πόρων, που απαιτούνται για την εκτέλεση. Χάρη στην εφαρμογή που ονομάζεται Firejail, μπορείτε να εκτελείτε με ασφάλεια μη αξιόπιστες εφαρμογές στο Linux.

Το Firejail είναι μια εφαρμογή SUID (Set Owner User ID) που μειώνει την έκθεση των παραβιάσεων ασφαλείας περιορίζοντας το περιβάλλον εκτέλεσης μη αξιόπιστων προγραμμάτων χρησιμοποιώντας Χώρους ονομάτων Linux και seccomp-bpf .

Κάνει μια διαδικασία και όλους τους απογόνους της να έχουν τη δική τους μυστική άποψη των παγκοσμίως κοινόχρηστων πόρων του πυρήνα, όπως η στοίβα δικτύου, ο πίνακας διεργασιών, ο πίνακας προσάρτησης.

Μερικές από τις δυνατότητες που χρησιμοποιεί το Firejail:

  • Χώροι ονομάτων Linux
  • Δοχείο συστήματος αρχείων
  • Φίλτρα ασφαλείας
  • Υποστήριξη δικτύωσης
  • Κατανομή των πόρων

Αναλυτικές πληροφορίες σχετικά με τις δυνατότητες του Firejail μπορείτε να βρείτε στην επίσημη σελίδα.

Πώς να εγκαταστήσετε το Firejail στο Linux

Η εγκατάσταση μπορεί να ολοκληρωθεί κατεβάζοντας το πιο πρόσφατο πακέτο από τη σελίδα github του έργου χρησιμοποιώντας την εντολή git όπως φαίνεται.

git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip

Σε περίπτωση που δεν έχετε εγκατεστημένο το git στο σύστημά σας, μπορείτε να το εγκαταστήσετε με:

sudo apt install git  [On Debian/Ubuntu]
yum install git       [On CentOS/RHEL]
dnf install git       [On Fedora 22+]

Ένας εναλλακτικός τρόπος εγκατάστασης του firejail είναι να κάνετε λήψη του πακέτου που σχετίζεται με τη διανομή Linux και να το εγκαταστήσετε με τον διαχειριστή πακέτων του. Μπορείτε να κατεβάσετε αρχεία από τη σελίδα SourceForge του έργου. Αφού κατεβάσετε το αρχείο, μπορείτε να το εγκαταστήσετε με:

sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Πώς να εκτελέσετε εφαρμογές με το Firejail στο Linux

Είστε πλέον έτοιμοι να εκτελέσετε τις εφαρμογές σας με το firejail. Αυτό επιτυγχάνεται με την εκκίνηση ενός τερματικού και την προσθήκη του firejail πριν από την εντολή που θέλετε να εκτελέσετε.

Εδώ είναι ένα παράδειγμα:

firejail firefox    #start Firefox web browser
firejail vlc        # start VLC player

Δημιουργία Προφίλ Ασφαλείας

Το Firejail περιλαμβάνει πολλά προφίλ ασφαλείας για διαφορετικές εφαρμογές και αποθηκεύονται σε:

/etc/firejail

Εάν έχετε δημιουργήσει το έργο από την πηγή, μπορείτε να βρείτε τα προφίλ στο:

path-to-firejail/etc/

Εάν έχετε χρησιμοποιήσει το πακέτο rpm/deb, μπορείτε να βρείτε τα προφίλ ασφαλείας στο:

/etc/firejail/

Οι χρήστες, θα πρέπει να τοποθετήσουν τα προφίλ τους στον ακόλουθο κατάλογο:

~/.config/firejail

Εάν θέλετε να επεκτείνετε ένα υπάρχον προφίλ ασφαλείας, μπορείτε να χρησιμοποιήσετε τη διαδρομή συμπερίληψης με το προφίλ και να προσθέσετε τις γραμμές σας στη συνέχεια. Αυτό θα πρέπει να μοιάζει κάπως έτσι:

cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Εάν θέλετε να περιορίσετε την πρόσβαση της εφαρμογής σε συγκεκριμένο κατάλογο, μπορείτε να χρησιμοποιήσετε έναν κανόνα μαύρης λίστας για να το πετύχετε αυτό ακριβώς. Για παράδειγμα, μπορείτε να προσθέσετε τα ακόλουθα στο προφίλ ασφαλείας σας:

blacklist ${HOME}/Documents

Ένας άλλος τρόπος για να επιτύχετε το ίδιο αποτέλεσμα είναι να περιγράψετε πραγματικά την πλήρη διαδρομή προς τον φάκελο που θέλετε να περιορίσετε:

blacklist /home/user/Documents

Υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους μπορείτε να διαμορφώσετε τα προφίλ ασφαλείας σας, όπως να μην επιτρέπεται η πρόσβαση, να επιτρέπεται η πρόσβαση μόνο για ανάγνωση κ.λπ. Εάν ενδιαφέρεστε να δημιουργήσετε προσαρμοσμένα προφίλ, μπορείτε να ελέγξετε τις παρακάτω οδηγίες firejail.

Το Firejail είναι ένα φοβερό εργαλείο για τους χρήστες με γνώμονα την ασφάλεια, που θέλουν να προστατεύσουν το σύστημά τους.