Chraňte svůj systém. Spusťte prohlížeč ve Firejailu

  • Richard Poole
  • 0
  • 1100
  • 20
>

Objektivní

Nainstalujte Firejail a použijte jej k izolování aplikací, jako jsou webové prohlížeče, které interagují s otevřeným internetem.

Distribuce

To bude fungovat s jakoukoli současnou distribucí Linuxu.

Požadavky

Fungující instalace systému Linux s oprávněními uživatele root.

Obtížnost

Snadný

Konvence

  • # - vyžaduje, aby dané linuxové příkazy byly prováděny s oprávněním root buď přímo jako uživatel root, nebo pomocí sudo příkaz
  • $ - vyžaduje, aby dané linuxové příkazy byly prováděny jako běžný neprivilegovaný uživatel

Úvod

Jedinou největší hrozbou pro váš systém Linux je váš webový prohlížeč. Když o tom přemýšlíte, dává to dokonalý smysl. Prohlížeč je velký a složitý software se schopností vykonávat kód, který přistupuje k otevřenému internetu a provádí téměř vše, s čím přijde do styku..
Nejlepším způsobem, jak tento problém vyřešit, je rozčlenit váš prohlížeč nebo jakoukoli jinou aplikaci orientovanou na internet od zbytku systému. Tímto způsobem nemůže způsobit téměř tolik škody, pokud je ohrožena. K tomu je Firejail. Firejail je sandboxingový program, který umožňuje programům spouštět v jednotlivých sandboxech s vlastní sadou parametrů, což omezuje jejich kontakt se zbytkem vašeho systému. Firejail se snadno používá a je k dispozici v úložištích téměř všech hlavních distribucí, s výjimkou Fedory a CentOS.

Nainstalujte Firejail

Debian / Ubuntu

$ sudo apt nainstalovat firejail

Fedora / CentOS

Stáhněte si Firejail .ot / min z jejich stránky Sourceforge https://sourceforge.net/projects/firejail/files/firejail/, a nainstalujte jej ručně.
# rpm -i firejail_X.Y-Z.x86_64.rpm

OpenSUSE

# zypper nainstalujte firejail

Arch Linux

# pacman -S firejail

Gentoo

# emerge --ask firejail

Základní použití

Chcete-li spustit aplikaci přes Firejail, stačí před příkaz předponu Firejail.
$ firejail firefox
Firefox se spustí jako obvykle, ale je obsažen ve vlastním pískovišti. To bude fungovat prakticky s jakoukoli aplikací, na kterou si vzpomenete, včetně těch z příkazového řádku.
$ firejail tar xpf somefile.tar.gz
Firejail zůstane v provozu, dokud to aplikace bude dělat. I když používáte něco, co bude na chvíli otevřené, nemusíte se bát, že se Firejail zastaví a aplikace bude nejistá. Ve skutečnosti, pokud se něco takového stane, aplikace se také zastaví. Firejail můžete také použít spolu s graficky náročnými programy. Moc je nezpomalí, pokud vůbec.
$ firejail wine64 '~ / .wine / drive_c / Program Files (x86) / World of Warcraft / Wow-64.exe'

Předávání argumentů

Ve Firejailu je prostřednictvím vlajek k dispozici spousta funkcí. Většinu z nich pravděpodobně nikdy nevyužijete, ale určitě si je můžete prohlédnout ve Firejail's muž strana. Zde popsaný pár je nejběžnější.

--seccomp

The --seccomp flag říká Firejailu, aby odfiltroval a zablokoval libovolné množství systémových volání. Má vlastní výchozí seznam systémových volání, která bude ve výchozím nastavení blokována, ale můžete je také určit --seccomp = syscall, syscall. Jen Přidej --seccomp na váš běžný příkaz Firejail, abyste jej mohli použít.
$ firejail --seccomp firefox

--soukromé

The --soukromé flag funguje podobně jako soukromé okno ve webovém prohlížeči. Vytvoří samostatnou karanténu v dočasném úložišti a po zavření aplikace se sama odstraní.
$ firejail - soukromý firefox
Samozřejmě je můžete spojit dohromady.
$ firejail --seccomp - soukromý firefox

Profily Firejail

Firejail má nezávislé konfigurace pro většinu programů, s nimiž byste jej běžně provozovali. Označuje je jako „profily“. Tyto profily ve výchozím nastavení předávají Firejailu specifické příznaky a bity konfigurace, kdykoli je spuštěn odpovídající program. Abyste mohli používat výchozí profily Firejail, nemusíte dělat nic. Chcete-li profily upravit nebo vytvořit vlastní, můžete je zkopírovat do místního adresáře na adrese ~ / .config / firejail /.

Firejail ve výchozím nastavení

Existuje několik způsobů, jak ve výchozím nastavení spustit program Firejail. Nejjednodušší je pravděpodobně upravit spouštěče programů, s nimiž plánujete Firejail používat. To však může být zdlouhavé a nemusíte to nutně dělat. Pokud chcete, aby Firejail běžel s každý program, pro který má výchozí profil, můžete spustit jednoduchý příkaz jako root a Firejail se nastaví sám.
# firecfg
Pokud ve výchozím nastavení nepoužíváte tuto širokou škálu programů používajících Firejail, můžete ručně nastavit ty, které chcete.
# ln -s / usr / bin / firejail / usr / local / bin / firefox
Tím se vytvoří symbolické spojení mezi firejailem a spuštěným programem. Nahraďte skutečnou cestu pro váš systém a program.

Závěrečné myšlenky

Firejail je vynikající způsob, jak rozdělit aplikace na Linuxu a udržet potenciální porušení v karanténě, než k tomu vůbec dojde. Má také potenciál zastavit chyby, aby nesnižovaly více než jen program, který ovlivňují. Vzhledem k tomu, jak snadné je použití, není důvod ne ke spuštění systému Firejail.



Zatím žádné komentáře

Sbírka užitečných informací o operačním systému Linux a nových technologiích
Nejnovější články, praktické tipy, podrobné recenze a průvodci. Ve světě operačního systému Linux se budete cítit jako doma