Firejail это программа SUID (установка идентификатора пользователя), предоставляемая Linux, которая может использоваться для минимизации проблем безопасности вашей системы при запуске ненадежных приложений в ограниченной среде. Firejail использует концепцию песочницы для минимизации проблем с безопасностью. В этом блоге мы увидим, как установить и использовать Firejail в убунту.
Установка Firejail
Перед использованием Firejail, мы должны установить его в нашей системе с помощью команды apt-get. Итак, запустите следующую команду в Терминале, чтобы установить Firejail
[электронная почта защищена]: ~ $ sudo apt-get install firejailПосле установки Firejail, вы можете проверить, установлен ли он в вашей системе или нет, выполнив следующую команду в терминале
[электронная почта защищена]: ~ $ firejail --versionЕсли эта команда выдает версию Firejail, затем он был установлен.
Запуск настольного приложения
Пока мы установили Firejail в нашей системе, теперь мы переходим к тому, как мы можем использовать его для запуска ненадежных приложений в защищенной среде. Мы можем запускать настольные приложения, набрав следующую команду в терминале
[электронная почта защищена]: ~ $ firejailНа следующем рисунке мы можем увидеть, как выглядит окно терминала, когда мы запускаем приложение с ограниченной средой
Интеграция Firejail с рабочим столом
Итак, если мы хотим запустить приложение из значков диспетчера рабочего стола в ограниченной среде, что нам нужно сделать?
Мы можем запускать приложения с помощью значка диспетчера рабочего стола, интегрировав Firejail в среду рабочего стола. Выполните следующую команду, чтобы интегрировать Firejail в среду рабочего стола
[электронная почта защищена]: ~ $ sudo firecfgПосле выполнения вышеуказанной команды выйдите из системы и снова войдите в систему
Когда вы запустите указанную выше команду, она настроит некоторые символические ссылки в вашей системе, как показано на рисунке.
Теперь, когда вы запускаете любое приложение из значков на рабочем столе или из терминала без использования пожарная тюрьма перед ней, она автоматически запустится в ограниченной среде.
Отслеживание песочниц
Вы также можете проверить, работает ли ваше приложение в песочнице или нет, перечислив все изолированные приложения. Выполните следующую команду, чтобы вывести список всех приложений, работающих в ограниченной среде
[электронная почта защищена]: ~ $ firejail --listЭта команда выведет список всех изолированных приложений
В качестве альтернативы вы также можете запустить команду top вместе с firejail, чтобы отобразить все процессы, запущенные под firejail. Выполните следующую команду в окне терминала, чтобы отобразить все процессы
[электронная почта защищена]: ~ $ firejail --top
Завершение работы песочницы
Если песочница не отвечает, вы можете закрыть ее из окна терминала, просто набрав команду. Прежде всего, запустите команду firejail с параметром -list, чтобы вывести список всех песочниц
После перечисления всей песочницы обратите внимание на PID закрываемой песочницы и выполните следующую команду
[электронная почта защищена]: ~ $ firejail --shutdown = PIDКогда вы запустите указанную выше команду, она отключит песочницу, указанную PID
Частный режим
Мы также можем использовать Firejail в приватном режиме. Приватный режим используется, чтобы скрыть все файлы в вашем домашнем каталоге от программ-песочниц. Мы можем включить частный режим, набрав следующую команду в окне терминала
[электронная почта защищена]: ~ $ firejail --private
Он запустит приложение в приватном режиме. Firejail использует временную файловую систему, установленную в домашнем каталоге, и любой файл, созданный в этом каталоге, будет удален, когда вы закроете песочницу. Мы также можем использовать другой каталог для песочницы, выполнив следующую команду
[электронная почта защищена]: ~ $ firejail --private = ~ / my_dirОн установит каталог «my_dir» в качестве домашнего каталога firejail.
Создание пользовательских профилей
Мы также можем создавать собственные профили в Firejail. В этом разделе мы создадим наш собственный профиль в черном списке в Firejail. Ниже приведен процесс создания профиля в черном списке
Создание профилей из черного списка
Ниже приведены шаги по созданию пользовательского профиля. Прежде всего перейдите в домашний каталог и создайте «.config / firejail »в домашнем каталоге. После создания каталога перейдите в этот каталог
Теперь скопируйте профиль безопасности по умолчанию в этот каталог, выполнив следующую команду
[электронная почта защищена]: ~ /.config / firejail $ cp / etc / firejail / по умолчанию.приложение профиля.профильИмя файла «app» должно быть таким же, как у приложения, с .расширение профиля. Например, если вы хотите создать собственный профиль для firefox, имя файла должно быть «firefox.профиль". Теперь откройте этот файл, чтобы изменить его, выполнив следующую команду
[электронная почта защищена]: ~ /.config / firejail $ nano приложение.профильТеперь, если вы хотите внести в черный список каталог документов, добавьте в этот файл следующую строку
Черный список / главная / пользователь / ДокументыЧтобы указать каталог загрузок как доступный только для чтения, добавьте в этот файл следующую строку
Только для чтения / главная / пользователь / ЗагрузкиТеперь ваш профиль готов к использованию. Введите следующую команду в терминале, чтобы запустить ненадежное приложение в ограниченной среде
[электронная почта защищена]: ~ приложение $ firejailТеперь ваше приложение не может использовать какие-либо данные из каталога Documents и не может изменять данные в каталоге Downloads.
Инструмент Firejail с графическим интерфейсом
Firejail также предоставляет пользовательский интерфейс, чтобы его было проще использовать. Все, что вам нужно сделать, это загрузить пакет и установить его в своей системе. Ниже приведена ссылка для загрузки инструмента с графическим интерфейсом для Firejail
https: // sourceforge.сеть / проекты / firejail / файлы / firetools /
Перейдите по ссылке выше, выберите соответствующий пакет, подходящий для вашей системы, и установите его.
Заключение
Firejail это очень мощный инструмент для безопасного запуска ненадежных приложений в вашей системе. В этом блоге описаны все шаги по использованию этого инструмента. Прежде всего установка Firejail был обсужден, затем было объяснено, как использовать его с помощью терминала в ubuntu. В конце создадим свои собственные профили в FirejaiЯ подробно обсуждался. После прочтения этого блога вам будет намного проще пользоваться Firejail.