Linux има репутацията на доста сигурен и от трите големи операционни системи среща много по-малко проблеми, когато става въпрос за поверителност. И все пак, колкото и да е сигурен Linux, винаги има място за подобрение. Представяме ви Firejail. Това е приложение, което позволява на потребителите да вземат всяко работещо приложение и да го „затворят“ или „да го затворят“. Firejail ви позволява да изолирате приложение и да му предотвратите достъп до нещо друго в системата. Приложението е най-популярният инструмент за пясъчни програми в Linux. Именно поради това много дистрибуции на Linux решиха да доставят този софтуер. Ето как да получите Firejail на Linux.
ПРЕДУПРЕЖДЕНИЕ ЗА СПОЙЛЕР: Превъртете надолу и гледайте видеоурока в края на тази статия.
Съдържание
Инсталация
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Не сте доволни от репо версията на Firejail на Arch? Помислете за изграждането версията на Git от AUR вместо това.
Fedora
За съжаление няма пакет Firejail, който да се вижда във Fedora. Основните репозитории го нямат и няма причина да вярваме, че това ще се промени. Потребителите на Fedora все още могат да инсталират софтуера с Copr.
Copr е много подобен на PPA в Ubuntu или Arch Linux AUR. Всеки потребител може да направи репо Copr и да постави софтуер в него. Има много репозитории на FireJail Copr, така че ако този, който изброяваме в тази статия спре да се актуализира, не се колебайте да отидете на уебсайта и намерете заместник.
За да получите Firejail на Fedora, направете:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Подобно на повечето софтуери на трети страни за Suse, потребителите ще намерят Firejail в OBS. Версиите на Firejail могат бързо да бъдат инсталирани за най-новите версии на Leap и Tumbleweed. Вземи ги тук.
Не забравяйте да щракнете върху бутона с 1 щракване, за да инсталирате чрез YaST.
Друго
Изходният код за Firejail е лесно достъпен и лесен за компилиране, ако използвате неподдържана Linux дистрибуция.
За да започнете, инсталирайте пакета Git на вашата версия на Linux. Направете това, като отворите мениджъра на пакети, потърсите „git“ и го инсталирате в системата. Не забравяйте също да инсталирате всякакви инструменти за изграждане, специални за вашата Linux дистрибуция, ако все още не сте го направили (трябва да е лесно за намиране, просто проверете уикито на вашата дистрибуция). Например, компилирането на Debian/Ubuntu изисква build-essential.
След като пакетът git бъде инсталиран в системата, използвайте го, за да вземете най-новата версия на софтуера Firejail.
git clone https://github.com/netblue30/firejail.git
Кодът е в системата. Въведете изтеглената папка, за да стартирате процеса на изграждане с командата cd.
cd firejail
Преди този софтуер да може да се компилира, ще трябва да стартирате configure. Това ще сканира вашия компютър и ще каже на софтуера какво има вашият компютър, какви са спецификациите и т.н. Това е важно и без него софтуерът няма да се изгради.
configure
Програмата е конфигурирана за компилация. Сега нека генерираме make-файл. Makefile има инструкции за изграждане на част от софтуера. Направете това с командата make.
make
И накрая, инсталирайте софтуера firejail на вашата система:
sudo make install-strip
Използване на Firejail
Пясъчният бокс на нещо с Firejail е лесен. За основна програмна среда, всичко, което се изисква, е да използвате префикса „firejail“, преди да въведете команда. Например: в Sandbox текстовия редактор на Gedit и силоза, ако сте изключени от останалата част от вашата Linux инсталация, правите: firejail gedit в терминала. Това е почти как работи. За обикновен пясъчник това е достатъчно. Въпреки това, поради това колко придирчив е този софтуер, е необходима известна конфигурация.
Например: ако стартирате firejail firefox, браузърът Firefox ще работи в заключена пясъчна кутия и нищо друго в системата няма да може да го докосне. Това е чудесно за сигурност. Въпреки това, ако искате да изтеглите изображение в директория, може да не успеете, тъй като Firejail може да няма достъп до всяка директория във вашата система и т.н. В резултат на това ще трябва да преминете през и конкретно да изброите където пясъчник МОЖЕ и НЕ МОЖЕ да влезе в системата. Ето как да го направите:
Бели и черни списъци на профили
Черният и белият списък са нещо за всяко приложение. Няма начин да зададете глобални настройки по подразбиране за достъпа на приложенията в затвора. Firejail вече има много конфигурационни файлове. Те генерират нормални настройки по подразбиране с тези конфигурационни файлове и в резултат на това основните потребители няма да трябва да правят каквото и да е редактиране. Все пак, ако сте напреднал потребител, редактирането на тези типове файлове може да бъде полезно.
Отворете терминал и отидете на /etc/firejail.
cd /etc/firejail
Използвайте командата LS, за да видите цялото съдържание на директорията, и използвайте тръба, за да направите всяка страница видима. Натиснете клавиша enter, за да се придвижите надолу по страницата.
Намерете конфигурационния файл за вашето приложение и го запишете. В това ще продължим с примера за Firefox.
ls | more
Отворете профила на Firefox firejail в нано текстовия редактор.
sudo nano /etc/firejail/firefox.profile
Както беше посочено по-горе, приложението Firejail има разумни настройки по подразбиране. Това означава, че разработчиците са преминали през и са настроили настройките по подразбиране, които трябва да работят за повечето потребители. Например: въпреки че приложението е затворено, директорията ~/Downloads и директориите на плъгини в системата са налични. За да добавите още елементи към този бял списък, отидете в секцията на конфигурационния файл, където всичко е в белия списък, и напишете свои собствени правила.
Например, за да улесня качването на снимки в моя Facebook профил във firejail версията на Firefox, ще трябва да добавя:
whitelist ~/Pictures
Същата предпоставка може да се използва за включване в черен списък. За да предотвратите версията на Firefox в пясъчна среда да вижда конкретни директории (без значение какво), не се колебайте да направите нещо като:
blacklist ~/secret/file/area
Запазете редакциите си с Ctrl + O
Забележка: „~/“ означава /домашен/текущ потребител
Заключение
Sanboxing е брилянтен начин да се предпазите от изтичащи приложения или лоши актьори, които искат да откраднат вашите данни. Ако сте параноик на Linux, вероятно е добра идея да дадете сериозен опит на този инструмент.