Linux има репутация на доста сигурна,и от големите три операционни системи се натъква на далеч по-малко проблеми, що се отнася до поверителността. И все пак, колкото и сигурен да бъде Linux, винаги има място за подобрения. Представяме ви Firejail. Това е приложение, което позволява на потребителите да вземат всяко работещо приложение и да го „затворят“ или „пясъчницата“. Firejail ви позволява да изолирате приложение и да попречи на достъп до всичко друго в системата. Приложението е най-популярният инструмент за пясъчни програми на Linux. Поради това много дистрибуции на Linux са решили да доставят този софтуер. Ето как да получите Firejail на Linux.
ВНИМАНИЕ СПОЙЛЕР: Превъртете надолу и гледайте видео урока в края на тази статия.
Инсталация
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Не сте доволни от репо версията на Firejail в Arch? Помислете вместо това да изградите Git версията от AUR.
Fedora
За съжаление, няма Firejail пакет заFedora да се види. Основните репости нямат и няма причина да вярваме, че това ще се промени. Потребителите на Fedora все още могат да инсталират софтуера с Copr.
Copr е много подобен на PPA в Ubuntu или theArch Linux AUR. Всеки потребител може да направи Copr repo и да постави софтуер за него. Има много репости на FireJail Copr, така че ако този, който изброяваме в тази статия, спира да се актуализира, не се колебайте да отидете на уебсайта и да намерите замяна.
За да получите Firejail на Fedora, направете:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Подобно на повечето софтуери на трети страни за Suse, потребителите ще намерят Firejail в OBS. Версиите на Firejail могат бързо да бъдат инсталирани за най-новите версии на Leap и Tumbleweed. Вземете ги тук.
Не забравяйте да кликнете върху бутона с 1 щракване, за да инсталирате чрез YaST.
друг
Изходният код за Firejail е лесно достъпен и лесен за компилиране, ако сте на неподдържана Linux дистрибуция.
За да започнете, инсталирайте пакета Git на вашияверсия на Linux. Направете това, като отворите мениджъра си на пакети, потърсите „git“ и го инсталирайте в системата. Не забравяйте също да инсталирате всякакви инструменти за изграждане, специални за вашата дистрибуция на Linux, ако още не сте го (трябва да е лесно да намерите, просто проверете уикито на вашия дистрибутор). Например компилирането на Debian / Ubuntu изисква съществено изграждане.
След като git пакета е инсталиран в системата, използвайте го, за да вземете най-новата версия на софтуера Firejail.
git clone https://github.com/netblue30/firejail.git
Кодът е в системата. Въведете изтеглената папка, за да стартирате процеса на изграждане с командата cd.
cd firejail
Преди този софтуер да може да се компилира, ще трябвастартирайте конфигурация. Това ще сканира вашия компютър и ще каже на софтуера какво има вашият компютър, какви са спецификациите и т.н. Това е важно и без него софтуерът няма да се изгради.
configure
Програмата е конфигурирана за компилация. Сега, нека да създадем makefile. Makefile има инструкции за изграждане на част от софтуера. Направете това с командата make.
make
И накрая, инсталирайте софтуера firejail във вашата система:
sudo make install-strip
Използване на Firejail
Пясъкът с нещо в Firejail е лесно. За основна пясъчна програма на програмата всичко, което е необходимо, е да използвате префикса „firejail“, преди да въведете команда. Например: в Sandbox текстовия редактор на Gedit и силоза, ако сте изключили останалата част от вашата Linux инсталация, правите: firejail gedit в терминала. Това почти работи. За обикновен пясъчник, това е достатъчно. Въпреки това, колко фин е този софтуер, е необходима известна конфигурация.
Например: ако тичате firejail firefox, браузърът на Firefox ще работи в заключенпясъчник и нищо друго в системата няма да може да го докосне. Това е чудесно за сигурността. Ако обаче искате да изтеглите изображение в директория, може да не успеете, тъй като Firejail може да няма достъп до всяка директория на вашата система и т.н. В резултат на това ще трябва да преминете и специално да изброите списък където пясъчникът МОЖЕ и НЕ МОЖЕ да отиде в системата. Ето как да го направите:
Профил бели и черни списъци
Черните списъци и белите списъци са нещо за приложение. Няма начин да задавате глобални настройки по подразбиране за това, до какво могат да имат достъп затворените приложения. Firejail има много конфигурационни файлове, които вече са създадени. Те генерират нормални настройки по подразбиране с тези конфигурационни файлове и в резултат на това основните потребители няма да трябва да правят никакви редакции. И все пак, ако сте напреднал потребител, редактирането на тези типове файлове може да бъде полезно.
Отворете терминал и преминете към / etc / firejail.
cd /etc/firejail
Използвайте командата LS за преглед на цялото съдържание на директорията и използвайте тръба, за да направите всяка страница видима. Натиснете клавиша Enter, за да се придвижите надолу по страницата.
Намерете конфигурационния файл за вашето приложение и го отбележете. В този случай ще продължим с примера на Firefox.
ls | more
Отворете профила на Firejax firejail в редактора за нано текст.
sudo nano /etc/firejail/firefox.profile
Както бе посочено по-рано, приложението Firejail се е запалилопо подразбиране. Това означава, че разработчиците са преминали през и са задали настройките по подразбиране, които трябва да работят за повечето потребители. Например: въпреки че приложението е в затвора, директорията ~ / Downloads и директориите за плъгини в системата са налични. За да добавите още елементи към този списък с бели списъци, отидете в секцията на конфигурационния файл, където всичко се съдържа в бели списъци, и напишете свои собствени правила.
Например, за да улесня качването на снимки в моя Facebook профил във firejail версията на Firefox, ще трябва да добавя:
whitelist ~/Pictures
Същата предпоставка може да се използва за черния списък. За да попречите на пясъчната версия на Firefox да вижда конкретни директории (независимо какво), не се колебайте да направите нещо като:
blacklist ~/secret/file/area
Запазете редакциите си с Ctrl + O
Забележка: „~ /“ означава / начален / текущ потребител
заключение
Sanboxing е блестящ начин за защитасебе си от течови приложения или лоши участници, които искат да откраднат вашите данни. Ако сте параноик в Linux, вероятно е добра идея да направите този инструмент сериозно.
Коментари