Firejail - система изолированного запуска приложений

Установка
Работа с утилитой
Дополнительные настройки

Окружение

• Версия РЕД ОС: 7.3
• Конфигурация: Рабочая станция
• Версия ПО: firejail 0.9.56

Firejail — это простая в использовании система изолированного выполнения графических, консольных и серверных приложений, которая снижает риск нарушений безопасности за счет ограничения рабочей среды потенциально уязвимых программ с использованием пространств имен (namespaces), фильтрации системных вызовов (seccomp-bpf) и возможностей AppArmor.

Установка

Для установки firejail перейдите в сеанс пользователя root:

su -

и выполните команду:

dnf install firejail

Работа с утилитой

Для того чтобы запустить приложение изолированно, нужно выполнить команду вида firejail <имя_программы>:

Например:

firejail firefox

При запуске браузера обычным способом доступны следующие данные пользователя:

При запуске браузера из контейнера доступ к большинству пользовательских данных ограничен.

Дополнительные настройки

Для просмотра доступных профилей приложений, которые поддерживает firejail, выполните:

ls /etc/firejail

Далее настройка будет выполняться на примере firefox.

Firejail имеет стандартные настройки по умолчанию. Даже если приложение находится в контейнере, каталог ~/Downloads и каталоги плагинов в системе доступны. Для того чтобы добавить больше элементов в белый список, перейдите в раздел whitelist конфигурационного файла и пропишите свои собственные правила.

Откройте файл:

nano /etc/firejail/firefox.profile

В нем вы можете настроить доступ к файлам, вносить их в черный и белый списки.

# Firejail profile for firefox # Description: Safe and easy web browser from Mozilla # This file is overwritten after every install/update # Persistent local customizations include firefox.local # Persistent global definitions include globals.local noblacklist ${HOME}/.cache/mozilla noblacklist ${HOME}/.mozilla mkdir ${HOME}/.cache/mozilla/firefox mkdir ${HOME}/.mozilla whitelist ${HOME}/.cache/mozilla/firefox whitelist ${HOME}/.mozilla # firefox requires a shell to launch on Arch. #private-bin firefox,which,sh,dbus-launch,dbus-send,env,bash # private-etc must first be enabled in firefox-common.profile #private-etc firefox # Redirect include firefox-common.profile

Для того чтобы внести файл в белый список, необходимо прописать:

whitelist ~/<расположение_файла>

Например:

whitelist ~/Pictures

Для того чтобы внести файл в черный список, необходимо прописать:

blacklist ~/<расположение_файла>

Например:

blacklist ~/ secret/file/area

Дата последнего изменения: 09.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.