Firejail - Voer veilig niet-vertrouwde applicaties uit in Linux
Soms wilt u misschien toepassingen gebruiken die niet goed zijn getest in verschillende omgevingen, maar u moet ze wel gebruiken. In dergelijke gevallen is het normaal dat u zich zorgen maakt over de veiligheid van uw systeem. Eén ding dat onder Linux gedaan kan worden is het gebruik van applicaties in een sandbox.
“Sandboxen ” is de mogelijkheid om applicaties in een beperkte omgeving uit te voeren. Op die manier krijgt de applicatie een kleine hoeveelheid bronnen die nodig zijn om te draaien. Dankzij de applicatie genaamd Firejail kun je veilig niet-vertrouwde applicaties uitvoeren in Linux.
Firejail is een SUID-applicatie (Set Owner User ID) die de blootstelling aan beveiligingsinbreuken vermindert door de actieve omgeving van niet-vertrouwde programma's te beperken met behulp van Linux-naamruimten en seccomp-bpf .
Het zorgt ervoor dat een proces en al zijn afstammelingen hun eigen geheime kijk hebben op de globaal gedeelde kernelbronnen, zoals de netwerkstack, procestabel en mounttabel.
Enkele van de functies die Firejail gebruikt:
- Linux-naamruimten
- Bestandssysteemcontainer
- Beveiligingsfilters
- Netwerkondersteuning
- Toewijzing van middelen
Gedetailleerde informatie over Firejail-functies is te vinden op de officiële pagina.
Hoe Firejail op Linux te installeren
De installatie kan worden voltooid door het nieuwste pakket te downloaden van de github-pagina van het project met behulp van de git-opdracht, zoals weergegeven.
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
Als je git niet op je systeem hebt geïnstalleerd, kun je het installeren met:
sudo apt install git [On Debian/Ubuntu]
yum install git [On CentOS/RHEL]
dnf install git [On Fedora 22+]
Een alternatieve manier om firejail te installeren is door het pakket dat bij uw Linux-distributie hoort te downloaden en het te installeren met de pakketbeheerder ervan. Bestanden kunnen worden gedownload van de SourceForge-pagina van het project. Nadat u het bestand hebt gedownload, kunt u het installeren met:
sudo dpkg -i firejail_X.Y_1_amd64.deb [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm [On CentOS/RHEL/Fedora]
Applicaties uitvoeren met Firejail in Linux
U bent nu klaar om uw applicaties uit te voeren met Firejail. Dit wordt bereikt door een terminal te starten en firejail toe te voegen vóór de opdracht die u wilt uitvoeren.
Hier is een voorbeeld:
firejail firefox #start Firefox web browser
firejail vlc # start VLC player
Beveiligingsprofiel maken
Firejail bevat veel beveiligingsprofielen voor verschillende toepassingen en deze worden opgeslagen in:
/etc/firejail
Als u het project vanuit de broncode heeft gebouwd, kunt u de profielen vinden in:
path-to-firejail/etc/
Als u het rpm/deb-pakket hebt gebruikt, kunt u de beveiligingsprofielen vinden in:
/etc/firejail/
Gebruikers moeten hun profielen in de volgende map plaatsen:
~/.config/firejail
Als u een bestaand beveiligingsprofiel wilt uitbreiden, kunt u include met pad naar het profiel gebruiken en daarna uw regels toevoegen. Dit zou er ongeveer zo uit moeten zien:
cat ~/.config/firejail/vlc.profile
include /etc/firejail/vlc.profile
net none
Als u de toegang van een applicatie tot een bepaalde directory wilt beperken, kunt u precies dat bereiken door een blacklist-regel te gebruiken. U kunt bijvoorbeeld het volgende aan uw beveiligingsprofiel toevoegen:
blacklist ${HOME}/Documents
Een andere manier om hetzelfde resultaat te bereiken is door het volledige pad te beschrijven naar de map die u wilt beperken:
blacklist /home/user/Documents
Er zijn veel verschillende manieren waarop u uw beveiligingsprofielen kunt configureren, zoals het weigeren van toegang, het toestaan van alleen-lezen toegang enz. Als u geïnteresseerd bent in het maken van aangepaste profielen, kunt u de volgende Firejail-instructies raadplegen.
Firejail is een geweldige tool voor beveiligingsbewuste gebruikers die hun systeem willen beschermen.