Firejail - Permohonan yang tidak dipercayai di Linux dengan selamat

Kadang -kadang anda mungkin mahu menggunakan aplikasi yang belum diuji dengan baik dalam persekitaran yang berbeza, namun anda mesti menggunakannya. Dalam kes sedemikian, adalah perkara biasa untuk mengambil berat tentang keselamatan sistem anda. Satu perkara yang boleh dilakukan di Linux ialah menggunakan aplikasi dalam a Kotak pasir.

"Sandboxing"Adakah keupayaan untuk menjalankan aplikasi dalam persekitaran yang terhad. Dengan cara itu, permohonan itu diberikan jumlah sumber yang diketatkan, yang diperlukan untuk dijalankan. Terima kasih kepada permohonan yang dipanggil Firaja, Anda boleh menjalankan aplikasi yang tidak dipercayai dengan selamat di Linux.

Firaja adalah aplikasi suid (set pemilik pengguna id) yang mengurangkan pendedahan pelanggaran keselamatan dengan mengehadkan persekitaran menjalankan program yang tidak dipercayai menggunakan Linux Namespaces dan SECCOMP-BPF.

Ia membuat proses dan semua keturunannya mempunyai pandangan rahsia mereka sendiri mengenai sumber kernel yang dikongsi di seluruh dunia, seperti timbunan rangkaian, jadual proses, meja mount.

Beberapa ciri yang Firaja Kegunaan:

• Linux Namespaces
• Bekas sistem fail
• Penapis Keselamatan
• Sokongan Rangkaian
• Peruntukan sumber

Maklumat terperinci mengenai ciri Firajail boleh didapati di halaman rasmi.

Cara Memasang Firaja di Linux

Pemasangan boleh disiapkan dengan memuat turun pakej terkini dari halaman GitHub projek menggunakan arahan git seperti yang ditunjukkan.

$ git clone https: // github.com/netblue30/firajail.git $ cd firejail $ ./Konfigurasi && membuat && sudo buat pemasangan-strip 

Sekiranya anda tidak mempunyai git dipasang pada sistem anda, anda boleh memasangnya dengan:

$ sudo apt pemasangan git [on debian/ubuntu] # yum install git [on centos/rhel] # dnf install git [on fedora 22+] 

Cara alternatif untuk memasang Firaja adalah untuk memuat turun pakej yang berkaitan dengan pengedaran Linux anda dan memasangnya dengan pengurus pakejnya. Fail boleh dimuat turun dari halaman sumber projek. Sebaik sahaja anda mempunyai fail yang dimuat turun, anda boleh memasangnya dengan:

$ sudo dpkg -i firejail_x.Y_1_AMD64.deb [on debian/ubuntu] $ sudo rpm -i firejail_x.Y-Z.x86_64.RPM [pada CentOS/RHEL/FEDORA] 

Cara menjalankan aplikasi dengan Firejail di Linux

Anda kini bersedia untuk menjalankan aplikasi anda dengan Firejail. Ini dicapai dengan melancarkan terminal dan menambah firaja sebelum arahan yang anda ingin jalankan.

Berikut adalah contoh:

$ Firajail Firefox #Start Firefox Web Browser $ Firejail VLC # Start VLC Player 

Buat profil keselamatan

Firejail termasuk banyak profil keselamatan untuk aplikasi yang berbeza dan mereka disimpan dalam:

/etc/firejail 

Jika anda telah membina projek dari sumber, anda boleh mencari profil dalam:

# Path-to-Firejail/etc/ 

Jika anda telah menggunakan pakej RPM/DEB, anda boleh mencari profil keselamatan di:

/etc/firejail/ 

Pengguna, harus meletakkan profil mereka dalam direktori berikut:

~/.Config/Firajail 

Sekiranya anda ingin melanjutkan profil keselamatan yang ada, anda boleh menggunakan termasuk dengan jalan ke profil dan tambahkan garis anda selepas itu. Ini sepatutnya kelihatan seperti ini:

$ kucing ~/.Config/Firajail/VLC.Profil termasuk/etc/firaja/vlc.profil bersih tiada 

Sekiranya anda ingin menyekat akses permohonan ke direktori tertentu, anda boleh menggunakan a Senarai Hitam memerintah untuk mencapai itu. Sebagai contoh, anda boleh menambah yang berikut ke profil keselamatan anda:

Blacklist $ Home/Dokumen 

Cara lain untuk mencapai hasil yang sama adalah untuk benar -benar menggambarkan laluan penuh ke folder yang anda ingin hadkan:

Senarai Hitam/Rumah/Pengguna/Dokumen 

Terdapat banyak cara yang berbeza di mana anda boleh mengkonfigurasi profil keselamatan anda, seperti tidak membenarkan akses, yang membolehkan akses baca sahaja dll. Sekiranya anda berminat untuk membina profil tersuai, anda boleh menyemak arahan firaja berikut.

Firaja adalah alat yang hebat untuk pengguna berfikiran keselamatan, yang ingin melindungi sistem mereka.