Linux має репутацію досить безпечної,а з трьох великих операційних систем у конфіденційності виникає набагато менше проблем. Тим не менш, наскільки безпечним може бути Linux, завжди є можливість для вдосконалення. Представляємо Firejail. Це програма, яка дозволяє користувачам брати будь-яку запущену програму та "в'язницю" чи "пісочницю". Firejail дозволяє ізолювати додаток і не дозволяє йому отримувати доступ до будь-якого іншого в системі. Додаток - найпопулярніший інструмент пісочниці програми в Linux. Саме через це багато дистрибутивів Linux вирішили поставити це програмне забезпечення. Ось як отримати Firejail на Linux.
СПОЙЛЕР ПОПЕРЕДЖЕННЯ: Прокрутіть униз і перегляньте відео-посібник в кінці цієї статті.
Установка
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Не задоволений репо-версією Firejail на Arch? Спробуйте створити версію Git замість AUR.
Fedora
На жаль, для пакета Firejail немаєФедору видно. Основні репости цього не мають, і немає підстав вважати, що це зміниться. Користувачі Fedora все ще можуть встановити програмне забезпечення, використовуючи Copr.
Copr дуже схожий на PPA на Ubuntu або theArch Linux AUR. Будь-який користувач може зробити репліка Copr і поставити на неї програмне забезпечення. Є багато репонів FireJail Copr, тому якщо той, який ми перераховуємо в цій статті, перестає оновлюватись, сміливо переходьте на веб-сайт і знайдіть заміну.
Щоб отримати Firejail у Fedora, виконайте:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Як і більшість сторонніх програм для Suse, користувачі знайдуть Firejail в OBS. Версії Firejail можна швидко встановити для останніх версій Leap і Tumbleweed. Отримайте їх тут.
Не забудьте натиснути кнопку 1-клацання для встановлення через YaST.
Інший
Вихідний код Firejail легко доступний і простий для компіляції, якщо ви не підтримуєте дистрибутив Linux.
Для початку встановіть пакет Git на свійверсія Linux. Зробіть це, відкривши менеджер пакунків, шукаючи “git” та встановлюючи його в систему. Не забудьте також встановити будь-які інструменти збирання, спеціальні для вашого дистрибутиву Linux, якщо ви цього ще не зробили (його слід легко знайти, просто перевірте вікі вашого дистрибутива). Наприклад, компіляція на Debian / Ubuntu вимагає складання.
Після того, як пакет git буде встановлений у системі, використовуйте його, щоб отримати останню версію програмного забезпечення Firejail.
git clone https://github.com/netblue30/firejail.git
Код є в системі. Введіть завантажену папку, щоб запустити процес збирання за допомогою команди cd.
cd firejail
Перш ніж це програмне забезпечення зможе зібрати, вам потрібно будезапустити конфігурацію. Це дозволить сканувати ваш ПК та повідомити програмному забезпеченню, який у вас ПК, які технічні характеристики і т. Д. Це важливо, і без цього програмне забезпечення не створюватиметься.
configure
Програма налаштована для компіляції. Тепер давайте створимо makefile. Makefile має вказівки щодо складання частини програмного забезпечення. Зробіть це за допомогою команди make.
make
Нарешті, встановіть у вашу систему програмне забезпечення firejail:
sudo make install-strip
Використання Firejail
Що-небудь пісочниці за допомогою Firejail легко. Для базової програми пісочного програмного забезпечення все, що потрібно, - це використовувати префікс "firejail" перед введенням команди. Наприклад: у Sandbox текстовому редакторі Gedit та силосі, якщо вимкнено решту вашої інсталяції Linux, ви зробите: firejail gedit в терміналі. Це майже все, як це працює. Для простого пісочниці цього достатньо. Однак через те, наскільки вибагливим є це програмне забезпечення, потрібна певна конфігурація.
Наприклад: якщо ти біжиш firejail firefox, браузер Firefox запуститься в заблокованому режиміпісочниця, і більше нічого в системі не вдасться доторкнутися до неї. Це чудово для безпеки. Однак якщо ви хочете завантажити зображення в каталог, ви, можливо, не зможете, оскільки Firejail може не мати доступу до кожного каталогу вашої системи тощо. В результаті вам потрібно буде пройти і спеціально перелічити де пісочниця CAN і CANNOT переходять у систему. Ось як це зробити:
Білі списки та чорний список профілів
Чорні списки та білі списки - це річ за програму. Не існує жодного способу встановлення глобальних значень за замовчуванням для доступу до в'язницьких додатків. У Firejail вже створено багато файлів конфігурації. Вони генерують цінні параметри за допомогою цих файлів конфігурації, і в результаті основним користувачам не потрібно буде редагувати. Однак, якщо ви досвідчений користувач, редагування цих типів файлів може бути корисним.
Відкрийте термінал і перейдіть до / etc / firejail.
cd /etc/firejail
Використовуйте команду LS, щоб переглянути весь вміст каталогу, і використовуйте трубу, щоб зробити кожну сторінку доступною для перегляду. Натисніть клавішу Enter, щоб перейти на сторінку вниз.
Знайдіть файл конфігурації для вашої програми та запишіть його. У цьому ми продовжимо на прикладі Firefox.
ls | more
Відкрийте профіль Firefox firejail у текстовому редакторі нано.
sudo nano /etc/firejail/firefox.profile
Як було сказано раніше, додаток Firejail справноза замовчуванням. Це означає, що розробники пережили і встановили типові настройки, які повинні працювати для більшості користувачів. Наприклад: хоча додаток перебуває у в'язниці, доступні каталог ~ / Downloads та каталоги плагінів у системі. Щоб додати більше елементів до цього списку, перейдіть до розділу файлу конфігурації, де все перебуває у списку, та напишіть власні правила.
Наприклад, щоб полегшити завантаження фотографій у мій профіль Facebook у версії Firejail Firefox, мені потрібно буде додати:
whitelist ~/Pictures
Це ж приміщення можна використовувати для чорного списку. Щоб запобігти перегляду певних каталогів (незважаючи ні на що), пісочні версії Firefox, сміливо робіть щось на кшталт:
blacklist ~/secret/file/area
Збережіть правки за допомогою Ctrl + O
Примітка: "~ /" означає / домашній / поточний користувач
Висновок
Санбоксинг - це блискучий спосіб захиститисебе від пропускних програм або поганих акторів, які хочуть вкрасти ваші дані. Якщо ви є параноїком у Linux, можливо, це гарна ідея зробити цей інструмент серйозним.
Коментарі