Firejail — это программа SUID (установка идентификатора пользователя), предоставляемая Linux, которую можно использовать чтобы свести к минимуму проблемы безопасности вашей системы при запуске ненадежных приложений в ограниченной среде. Firejail использует концепцию песочницы для минимизации проблем с безопасностью. В этом блоге мы увидим, как установить и использовать Firejail в ubuntu.
Установка Firejail
Перед использованием Firejail, мы должны установить его в нашей системе с помощью команды apt-get. Итак, запустите следующую команду в Терминале, чтобы установить
После установки Firejail вы можете проверить, установлен ли он в вашей системе, выполнив следующую команду в терминале
Если эта команда выдает версию Firejail , то она установлен.
Запуск настольного приложения
Пока мы установили Firejail в нашу систему, теперь мы переходим к тому, как мы можем использовать его для запуска ненадежных приложений в защищенной среде. Мы можем запускать настольные приложения, набрав следующую команду в терминале
На следующем рисунке мы видим, как выглядит окно терминала при запуске приложения в ограниченной среде
Интеграция Firejail с рабочим столом
Итак, если мы хотим запустить приложение с помощью значков диспетчера рабочего стола в ограниченной среде, что нам нужно делать?
Мы можем запускать приложения с помощью значка диспетчера рабочего стола, интегрировав Firejail в среду рабочего стола. Выполните следующую команду, чтобы интегрировать Firejail в среду рабочего стола
После выполнения указанной выше команды выйдите из системы и снова войдите в систему
Когда вы запускаете указанную выше команду, она настраивает некоторые символические ссылки в вашей системе, как показано на рисунке.
Теперь, когда вы запускаете любое приложение из значков на рабочем столе или из терминала без использования firejail перед ней, она автоматически запустится в ограниченной среде..
Отслеживание песочницы
Вы также можете проверить, работает ли ваше приложение в изолированной программной среде или нет, перечислив все изолированные приложения. Выполните следующую команду, чтобы вывести список всех приложений, работающих в ограниченной среде
Эта команда выведет список всех изолированных приложений
В качестве альтернативы , вы также можете запустить команду top вместе с firejail, чтобы отобразить все процессы, запущенные под firejail. Выполните следующую команду в окне терминала, чтобы отобразить все процессы
Завершение работы песочницы
Если песочница не отвечает , вы можете закрыть его из окна терминала, просто набрав команду. Прежде всего запустите команду firejail с параметром –list, чтобы вывести список всех песочниц
После перечисления всей песочницы обратите внимание на PID песочницы, которую нужно выключить, и выполните следующую команду
Когда вы запустите указанную выше команду, она отключит песочницу, указанную в PID
Приватный режим
Мы также можем использовать Firejail в приватном режиме. Приватный режим используется, чтобы скрыть все файлы в вашем домашнем каталоге от программ-песочниц. Мы можем включить приватный режим, набрав следующую команду в окне терминала
Это запустит приложение в приватном режиме. Firejail использует временную файловую систему, установленную в домашнем каталоге, и любой файл, созданный в этом каталоге, будет удален, когда вы закроете песочницу. Мы также можем использовать другой каталог для песочницы, выполнив следующую команду
Он установит каталог «my_dir» в качестве домашнего каталога firejail.
Создание пользовательских профилей
Мы также можем создать собственный профили в Firejail . В этом разделе мы создадим наш собственный профиль из черного списка в Firejail . Ниже приведен процесс создания профиля из черного списка
Создание профилей из черного списка
Ниже приведены шаги по созданию профиля, определенного пользователем. Прежде всего, перейдите в домашний каталог и создайте в домашнем каталоге каталог «.config/firejail». После создания каталога перейдите в этот каталог
Теперь скопируйте каталог по умолчанию профиль безопасности в этот каталог, выполнив следующую команду
Имя файла «app» должно быть таким же, как у файла application, с расширением .profile. . Например, если вы хотите создать собственный профиль для firefox, имя файла должно быть «firefox.profile». Теперь откройте этот файл для изменения, выполнив следующую команду
Теперь, если вы хотите поместить каталог документов в черный список, добавьте в этот файл следующую строку
Чтобы указать каталог загрузок как доступный только для чтения, добавьте в этот файл следующую строку
Теперь ваш профиль готов к использованию. Введите в терминале следующую команду, чтобы запустить ненадежное приложение в ограниченной среде
Теперь ваше приложение не может использовать какие-либо данные из каталога документов и не может изменять данные в каталоге загрузок.
Инструмент графического интерфейса Firejail
Firejail также предоставляет пользовательский интерфейс, упрощающий его использование. Все, что вам нужно сделать, это загрузить пакет и установить его в своей системе. Ниже приведена ссылка для загрузки инструмента с графическим интерфейсом для
https://sourceforge.net/projects/firejail/files/firetools/
Перейдите по ссылке выше, выберите соответствующий пакет, который подходит для вашей системы, и установите его.
Заключение
Firejail — очень мощный инструмент для безопасного запуска ненадежных приложений в вашей системе. В этом блоге описаны все шаги по использованию этого инструмента. Прежде всего, была обсуждена установка Firejail , а затем было объяснено, как использовать его с помощью терминала в ubuntu. В конце мы подробно обсудили создание ваших собственных профилей в Firejai . После прочтения этого блога вам будет намного проще использовать
