Как установить и использовать Firejail в Ubuntu

Иногда вы можете захотеть использовать в своей системе ненадежное приложение, которое еще не было протестировано. Запуск этого приложения в вашей системе может привести к проблемам с безопасностью вашей системы. В этой ситуации вы должны запустить это приложение в песочница. Так что же такое песочница? Песочница означает запуск приложения в ограниченной среде. Таким образом, вы можете использовать ненадежное приложение, не заботясь о безопасности вашей системы.

Firejail это программа SUID (установка идентификатора пользователя), предоставляемая Linux, которая может использоваться для минимизации проблем безопасности вашей системы при запуске ненадежных приложений в ограниченной среде. Firejail использует концепцию песочницы для минимизации проблем с безопасностью. В этом блоге мы увидим, как установить и использовать Firejail в убунту.

Установка Firejail

Перед использованием Firejail, мы должны установить его в нашей системе с помощью команды apt-get. Итак, запустите следующую команду в Терминале, чтобы установить Firejail

[электронная почта защищена]: ~ $ sudo apt-get install firejail

После установки Firejail, вы можете проверить, установлен ли он в вашей системе или нет, выполнив следующую команду в терминале

[электронная почта защищена]: ~ $ firejail --version

Если эта команда выдает версию Firejail, затем он был установлен.

Запуск настольного приложения

Пока мы установили Firejail в нашей системе, теперь мы переходим к тому, как мы можем использовать его для запуска ненадежных приложений в защищенной среде. Мы можем запускать настольные приложения, набрав следующую команду в терминале

[электронная почта защищена]: ~ $ firejail

На следующем рисунке мы можем увидеть, как выглядит окно терминала, когда мы запускаем приложение с ограниченной средой

Интеграция Firejail с рабочим столом

Итак, если мы хотим запустить приложение из значков диспетчера рабочего стола в ограниченной среде, что нам нужно сделать?

Мы можем запускать приложения с помощью значка диспетчера рабочего стола, интегрировав Firejail в среду рабочего стола. Выполните следующую команду, чтобы интегрировать Firejail в среду рабочего стола

[электронная почта защищена]: ~ $ sudo firecfg

После выполнения вышеуказанной команды выйдите из системы и снова войдите в систему

Когда вы запустите указанную выше команду, она настроит некоторые символические ссылки в вашей системе, как показано на рисунке.

Теперь, когда вы запускаете любое приложение из значков на рабочем столе или из терминала без использования пожарная тюрьма перед ней, она автоматически запустится в ограниченной среде.

Отслеживание песочниц

Вы также можете проверить, работает ли ваше приложение в песочнице или нет, перечислив все изолированные приложения. Выполните следующую команду, чтобы вывести список всех приложений, работающих в ограниченной среде

[электронная почта защищена]: ~ $ firejail --list

Эта команда выведет список всех изолированных приложений

В качестве альтернативы вы также можете запустить команду top вместе с firejail, чтобы отобразить все процессы, запущенные под firejail. Выполните следующую команду в окне терминала, чтобы отобразить все процессы

[электронная почта защищена]: ~ $ firejail --top

Завершение работы песочницы

Если песочница не отвечает, вы можете закрыть ее из окна терминала, просто набрав команду. Прежде всего, запустите команду firejail с параметром -list, чтобы вывести список всех песочниц

После перечисления всей песочницы обратите внимание на PID закрываемой песочницы и выполните следующую команду

[электронная почта защищена]: ~ $ firejail --shutdown = PID

Когда вы запустите указанную выше команду, она отключит песочницу, указанную PID

Частный режим

Мы также можем использовать Firejail в приватном режиме. Приватный режим используется, чтобы скрыть все файлы в вашем домашнем каталоге от программ-песочниц. Мы можем включить частный режим, набрав следующую команду в окне терминала

[электронная почта защищена]: ~ $ firejail --private

Он запустит приложение в приватном режиме. Firejail использует временную файловую систему, установленную в домашнем каталоге, и любой файл, созданный в этом каталоге, будет удален, когда вы закроете песочницу. Мы также можем использовать другой каталог для песочницы, выполнив следующую команду

[электронная почта защищена]: ~ $ firejail --private = ~ / my_dir

Он установит каталог «my_dir» в качестве домашнего каталога firejail.

Создание пользовательских профилей

Мы также можем создавать собственные профили в Firejail. В этом разделе мы создадим наш собственный профиль в черном списке в Firejail. Ниже приведен процесс создания профиля в черном списке

Создание профилей из черного списка

Ниже приведены шаги по созданию пользовательского профиля. Прежде всего перейдите в домашний каталог и создайте «.config / firejail »в домашнем каталоге. После создания каталога перейдите в этот каталог

Теперь скопируйте профиль безопасности по умолчанию в этот каталог, выполнив следующую команду

[электронная почта защищена]: ~ /.config / firejail $ cp / etc / firejail / по умолчанию.приложение профиля.профиль

Имя файла «app» должно быть таким же, как у приложения, с .расширение профиля. Например, если вы хотите создать собственный профиль для firefox, имя файла должно быть «firefox.профиль". Теперь откройте этот файл, чтобы изменить его, выполнив следующую команду

[электронная почта защищена]: ~ /.config / firejail $ nano приложение.профиль

Теперь, если вы хотите внести в черный список каталог документов, добавьте в этот файл следующую строку

Черный список / главная / пользователь / Документы

Чтобы указать каталог загрузок как доступный только для чтения, добавьте в этот файл следующую строку

Только для чтения / главная / пользователь / Загрузки

Теперь ваш профиль готов к использованию. Введите следующую команду в терминале, чтобы запустить ненадежное приложение в ограниченной среде

[электронная почта защищена]: ~ приложение $ firejail

Теперь ваше приложение не может использовать какие-либо данные из каталога Documents и не может изменять данные в каталоге Downloads.

Инструмент Firejail с графическим интерфейсом

Firejail также предоставляет пользовательский интерфейс, чтобы его было проще использовать. Все, что вам нужно сделать, это загрузить пакет и установить его в своей системе. Ниже приведена ссылка для загрузки инструмента с графическим интерфейсом для Firejail

https: // sourceforge.сеть / проекты / firejail / файлы / firetools /

Перейдите по ссылке выше, выберите соответствующий пакет, подходящий для вашей системы, и установите его.

Заключение

Firejail это очень мощный инструмент для безопасного запуска ненадежных приложений в вашей системе. В этом блоге описаны все шаги по использованию этого инструмента. Прежде всего установка Firejail был обсужден, затем было объяснено, как использовать его с помощью терминала в ubuntu. В конце создадим свои собственные профили в FirejaiЯ подробно обсуждался. После прочтения этого блога вам будет намного проще пользоваться Firejail.