Firejail – Führen Sie nicht vertrauenswürdige Anwendungen unter Linux sicher aus
„Sandboxing”Ist die Fähigkeit, Anwendungen in einer begrenzten Umgebung auszuführen. Auf diese Weise erhält die Anwendung eine knappe Menge an Ressourcen, die zum Ausführen benötigt werden. Dank Anwendung angerufen Feuergefängniskönnen Sie nicht vertrauenswürdige Anwendungen unter Linux sicher ausführen.
Feuergefängnis ist eine SUID-Anwendung (Set Owner User ID), die das Risiko von Sicherheitsverletzungen verringert, indem sie die Ausführungsumgebung nicht vertrauenswürdiger Programme einschränkt Linux-Namespaces und seccomp-bpf.
Ein Prozess und alle seine Nachkommen haben eine eigene geheime Ansicht der global gemeinsam genutzten Kernelressourcen, z. B. des Netzwerkstapels, der Prozesstabelle und der Mount-Tabelle.
Einige der Funktionen, die Feuergefängnis Verwendet:
- Linux-Namespaces
- Dateisystemcontainer
- Sicherheitsfilter
- Netzwerkunterstützung
- Ressourcenzuweisung
Detaillierte Informationen zu den Firejail-Funktionen finden Sie in der Offizielle Seite.
So installieren Sie Firejail unter Linux
Die Installation kann abgeschlossen werden, indem das neueste Paket mit dem Befehl git wie gezeigt von der Github-Seite des Projekts heruntergeladen wird.
$ git clone https://github.com/netblue30/firejail.git $ cd firejail $ ./configure && make && sudo make install-strip
Falls Sie nicht haben git Auf Ihrem System installiert, können Sie es installieren mit:
$ sudo apt install git [On Debian/Ubuntu] # yum install git [On CentOS/RHEL] # dnf install git [On Fedora 22+]
Eine alternative Art der Installation Feuergefängnis Laden Sie das mit Ihrer Linux-Distribution verknüpfte Paket herunter und installieren Sie es mit dem Paketmanager. Dateien können von heruntergeladen werden SourceForge Seite von dem Projekt. Sobald Sie die Datei heruntergeladen haben, können Sie sie installieren mit:
$ sudo dpkg -i firejail_X.Y_1_amd64.deb [On Debian/Ubuntu] $ sudo rpm -i firejail_X.Y-Z.x86_64.rpm [On CentOS/RHEL/Fedora]
Ausführen von Anwendungen mit Firejail unter Linux
Sie können jetzt Ihre Anwendungen mit Firejail ausführen. Dies wird erreicht, indem vor dem Befehl, den Sie ausführen möchten, ein Terminal gestartet und ein Firejail hinzugefügt wird.
Hier ist ein Beispiel:
$ firejail firefox #start Firefox web browser $ firejail vlc # start VLC player
Sicherheitsprofil erstellen
Firejail enthält viele Sicherheitsprofile für verschiedene Anwendungen und diese werden gespeichert in:
/etc/firejail
Wenn Sie das Projekt aus dem Quellcode erstellt haben, finden Sie die Profile in:
# path-to-firejail/etc/
Wenn Sie das Paket rpm / deb verwendet haben, finden Sie die Sicherheitsprofile unter:
/etc/firejail/
Benutzer sollten ihre Profile im folgenden Verzeichnis ablegen:
~/.config/firejail
Wenn Sie ein vorhandenes Sicherheitsprofil erweitern möchten, können Sie include mit Pfad zum Profil verwenden und anschließend Ihre Zeilen hinzufügen. Das sollte ungefähr so aussehen:
$ cat ~/.config/firejail/vlc.profile include /etc/firejail/vlc.profile net none
Wenn Sie den Zugriff der Anwendung auf ein bestimmtes Verzeichnis beschränken möchten, können Sie a verwenden schwarze Liste Regel, um genau das zu erreichen. Sie können Ihrem Sicherheitsprofil beispielsweise Folgendes hinzufügen:
blacklist ${HOME}/Documents
Eine andere Möglichkeit, dasselbe Ergebnis zu erzielen, besteht darin, den vollständigen Pfad zu dem Ordner zu beschreiben, den Sie einschränken möchten:
blacklist /home/user/Documents
Es gibt viele verschiedene Möglichkeiten, wie Sie Ihre Sicherheitsprofile konfigurieren können, z. B. das Sperren des Zugriffs, das Zulassen des schreibgeschützten Zugriffs usw. Wenn Sie benutzerdefinierte Profile erstellen möchten, können Sie Folgendes überprüfen Anweisungen für das Feuergefängnis.
Feuergefängnis ist ein großartiges Tool für sicherheitsbewusste Benutzer, die ihr System schützen möchten.
