A Linux meglehetősen biztonságos hírnévvel rendelkezik, és a három nagy operációs rendszer közül sokkal kevesebb problémába ütközik, ha a magánéletről van szó. Ennek ellenére, amennyire biztonságos a Linux, mindig van hova fejlődni. Bemutatkozik a Firejail. Ez egy olyan alkalmazás, amely lehetővé teszi a felhasználók számára, hogy bármelyik futó alkalmazást elvigyék, és „bebörtönözzék”, vagy „homokozóba helyezzék”. A Firejail lehetővé teszi egy alkalmazás elkülönítését, és megakadályozza, hogy hozzáférjen bármihez a rendszeren. Az alkalmazás a legnépszerűbb sandbox-programozási eszköz a Linuxon. Emiatt sok Linux disztribúció úgy döntött, hogy szállítja ezt a szoftvert. Így szerezheti be a Firejailt Linuxon.
SPOILER FIGYELMEZTETÉS: Görgessen le, és tekintse meg a cikk végén található oktatóvideót.
Tartalomjegyzék
Telepítés
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Nem elégedett a Firejail repó verziójával az Archon? Fontolja meg az építkezést a Git verzió helyette az AUR-ból.
Fedora
Sajnos nincs Firejail csomag a Fedora számára. A fő repók nem rendelkeznek ezzel, és nincs okunk azt hinni, hogy ez változni fog. A Fedora felhasználók továbbra is telepíthetik a szoftvert a Copr segítségével.
A Copr nagyon hasonlít az Ubuntu PPA-khoz vagy az Arch Linux AUR-hoz. Bármely felhasználó készíthet Copr repót, és telepíthet rá szoftvert. Számos FireJail Copr repó létezik, ezért ha a cikkben felsorolt egyik frissítése leáll, akkor nyugodtan menjen a weboldalra és keress helyette.
A Firejail letöltéséhez Fedorán tegye a következőket:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
A legtöbb harmadik féltől származó Suse-szoftverhez hasonlóan a felhasználók megtalálják a Firejailt az OBS-ben. A Firejail verziói gyorsan telepíthetők a Leap és Tumbleweed legújabb verzióihoz. Kérni őket itt.
A YaST-on keresztüli telepítéshez feltétlenül kattintson az 1-kattintásos gombra.
Egyéb
A Firejail forráskódja könnyen elérhető és könnyen lefordítható, ha nem támogatott Linux disztribúciót használ.
A kezdéshez telepítse a Git csomagot a Linux verziójára. Ehhez nyissa meg a csomagkezelőt, keresse meg a „git” szót, és telepítse a rendszerre. Feltétlenül telepítsd a Linux-disztribúciódhoz speciális összeállítási eszközöket is, ha még nem tetted meg (könnyen megtalálhatod, csak nézd meg a disztribúciód wikijét). Például a Debian/Ubuntu rendszeren történő fordításhoz build-essential szükséges.
Miután a git csomagot telepítette a rendszerre, használja azt a Firejail szoftver legújabb verziójának megragadásához.
git clone https://github.com/netblue30/firejail.git
A kód a rendszerben van. Írja be a letöltött mappát az építési folyamat elindításához a cd paranccsal.
cd firejail
Mielőtt ez a szoftver lefordíthatná, le kell futtatnia egy konfigurációt. Ez átkutatja a számítógépét, és megmondja a szoftvernek, hogy mi van a számítógépével, mik a specifikációi stb. Ez fontos, és enélkül a szoftver nem épül fel.
configure
A program fordításra van beállítva. Most hozzunk létre egy makefile-t. A makefile utasításokat tartalmaz egy szoftver elkészítéséhez. Tegye ezt a make paranccsal.
make
Végül telepítse a firejail szoftvert a rendszerére:
sudo make install-strip
Firejail használata
A Firejail segítségével egyszerű homokozóba helyezni valamit. Egy alapszintű program sandbox esetén mindössze a „firejail” előtagot kell használni a parancs bevitele előtt. Például: a Gedit szövegszerkesztő Sandboxba helyezéséhez, és ha a Linux-telepítés többi részétől eltekintünk, akkor a következőt kell tennie: firejail gedit a terminálban. Ez nagyjából így működik. Egyszerű homokozóhoz ez is elég. A szoftver bonyolultsága miatt azonban szükség van bizonyos konfigurációkra.
Például: ha a firejail firefoxot futtatja, akkor a Firefox böngésző egy lezárt homokozóban fog futni, és a rendszeren semmi más nem fogja tudni megérinteni. Ez nagyszerű a biztonság szempontjából. Ha azonban szeretne letölteni egy képet egy könyvtárba, előfordulhat, hogy nem tudja, mivel a Firejail nem férhet hozzá a rendszer összes könyvtárához stb. Ennek eredményeként át kell mennie, és külön listáznia kell ahol egy homokozó LEHET és NEM mehet a rendszeren. Íme, hogyan kell csinálni:
Profil engedélyezése és feketelistázása
A fekete- és engedélyezőlistázás alkalmazásonkénti dolog. Nincs mód arra, hogy globális alapértelmezéseket állítsunk be arra vonatkozóan, hogy a börtönbe zárt alkalmazások mennyihez férhetnek hozzá. A Firejail számos konfigurációs fájlt már beállított. Ezekkel a konfigurációs fájlokkal értelmes alapértelmezéseket generálnak, és ennek eredményeként az alapfelhasználóknak nem kell szerkeszteniük. Ennek ellenére, ha Ön haladó felhasználó, az ilyen típusú fájlok szerkesztése hasznos lehet.
Nyiss meg egy terminált, és menj az /etc/firejail oldalra.
cd /etc/firejail
Az LS paranccsal megtekintheti a könyvtár teljes tartalmát, és egy cső segítségével tegye láthatóvá az egyes oldalakat. Nyomja meg az Enter billentyűt az oldalon lefelé lépéshez.
Keresse meg az alkalmazás konfigurációs fájlját, és jegyezze fel. Ebben a Firefox példájával folytatjuk.
ls | more
Nyissa meg a Firefox firejail profilt a nano szövegszerkesztőben.
sudo nano /etc/firejail/firefox.profile
Amint azt korábban említettük, a Firejail alkalmazásnak józan alapértelmezései vannak. Ez azt jelenti, hogy a fejlesztők átmentek és beállítottak olyan alapértelmezéseket, amelyeknek működniük kell a legtöbb felhasználó számára. Például: bár az alkalmazás börtönben van, a ~/Downloads könyvtár és a beépülő modulok könyvtárai elérhetők a rendszeren. Ha további elemeket szeretne hozzáadni ehhez az engedélyezőlistához, lépjen a konfigurációs fájl azon részébe, ahol minden az engedélyezési listára kerül, és írja be a saját szabályait.
Például, hogy megkönnyítsem a fényképek feltöltését a Facebook-profilomra a Firefox firejail verziójában, hozzá kell tennem:
whitelist ~/Pictures
Ugyanez az előfeltétel használható a feketelistára. Ha meg szeretné akadályozni, hogy a Firefox homokozós verziója bizonyos könyvtárakat lásson (mindegy, hogy mi legyen), tegyen nyugodtan valamit:
blacklist ~/secret/file/area
Mentse el a módosításokat a Ctrl + O billentyűkombinációval
Megjegyzés: A „~/” jelentése /home/current user
Következtetés
A Sanboxing nagyszerű módja annak, hogy megvédje magát a kiszivárogtató alkalmazásoktól vagy a rossz szereplőktől, akik el akarják lopni az adatait. Ha paranoiás a Linuxon, akkor valószínűleg érdemes komolyan kipróbálni ezt az eszközt.