Линук има репутацију прилично безбедног, а од три велика оперативна система наилази на много мање проблема када је у питању приватност. Ипак, колико год да Линук може бити безбедан, увек постоји простор за побољшање. Представљамо Фирејаил. То је апликација која омогућава корисницима да узму било коју покренуту апликацију и да је „затворе“ или „затворе у заштићеном простору“. Фирејаил вам омогућава да изолујете апликацију и спречите је да приступи било чему другом на систему. Апликација је најпопуларнија алатка за сандбокинг програма на Линук-у. Због тога су многе Линук дистрибуције одлучиле да испоруче овај софтвер. Ево како да набавите Фирејаил на Линук-у.
УПОЗОРЕЊЕ СПОИЛЕР: Померите се надоле и погледајте видео водич на крају овог чланка.
Преглед садржаја
Инсталација
Убунту
sudo apt install firejail
Дебиан
sudo apt-get install firejail
Арцх Линук
sudo pacman -S firejail
Нисте задовољни репо верзијом Фирејаил-а на Арцх? Размислите о изградњи Гит верзија из АУР-а.
Федора
Нажалост, не постоји Фирејаил пакет за Федору. Главни репозиторији га немају, и нема разлога да верујемо да ће се ово променити. Федора корисници и даље могу да инсталирају софтвер, са Цопр.
Цопр је веома сличан ППА-овима на Убунту-у или Арцх Линук АУР-у. Сваки корисник може направити Цопр репо и ставити софтвер на њега. Постоји много ФиреЈаил Цопр репо-ова, па ако овај који наводимо у овом чланку престане да се ажурира, слободно идите на веб локацију и наћи замену.
Да бисте добили Фирејаил на Федори, урадите:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
ОпенСУСЕ
Као и већина софтвера независних произвођача за Сусе, корисници ће пронаћи Фирејаил у ОБС-у. Верзије Фирејаил-а се могу брзо инсталирати за најновије верзије Леап-а и Тумблевеед-а. По њих овде.
Обавезно кликните на дугме са једним кликом да бисте инсталирали преко ИаСТ-а.
Остало
Изворни код за Фирејаил је лако доступан и лак за компајлирање ако користите неподржану Линук дистрибуцију.
За почетак, инсталирајте Гит пакет на своју верзију Линук-а. Урадите то тако што ћете отворити менаџер пакета, потражити „гит“ и инсталирати га у систем. Обавезно инсталирајте и све алате за прављење специјалне за вашу Линук дистрибуцију, ако већ нисте (требало би да је лако пронаћи, само проверите вики своје дистрибуције). На пример, компајлирање на Дебиан/Убунту захтева буилд-ессентиал.
Када се гит пакет инсталира на систем, користите га да преузмете најновију верзију Фирејаил софтвера.
git clone https://github.com/netblue30/firejail.git
Код је на систему. Унесите преузету фасциклу да бисте започели процес изградње помоћу наредбе цд.
cd firejail
Пре него што се овај софтвер компајлира, мораћете да покренете конфигурацију. Ово ће скенирати ваш рачунар и рећи софтверу шта ваш рачунар има, које су спецификације итд. Ово је важно и без тога софтвер неће бити направљен.
configure
Програм је конфигурисан за компилацију. Сада, хајде да генеришемо макефиле. Макефиле садржи упутства за прављење дела софтвера. Урадите то командом маке.
make
На крају, инсталирајте фирејаил софтвер на свој систем:
sudo make install-strip
Коришћење Фирејаил-а
Складиштење нечега са Фирејаил-ом је лако. За основни програмски сандбок, све што је потребно је да користите префикс „фирејаил“ пре уношења команде. На пример: у Сандбок уређивач текста Гедит и сило ако сте искључени из остатка ваше Линук инсталације, урадите: фирејаил гедит у терминалу. Ово је отприлике начин на који то функционише. За једноставно сандбокинг, ово је довољно. Међутим, због тога колико је овај софтвер избирљив, потребна је одређена конфигурација.
На пример: ако покренете фирејаил фирефок, Фирефок претраживач ће радити у закључаном сандбоку и ништа друго у систему неће моћи да га додирне. Ово је одлично за сигурност. Међутим, ако желите да преузмете слику у директоријум, можда нећете моћи, јер Фирејаил можда нема приступ сваком директоријуму на вашем систему итд. Као резултат тога, мораћете да прођете кроз и посебно наведете где сандбок МОЖЕ и НЕ МОЖЕ да иде на систем. Ево како да то урадите:
Стављање профила на белу и црну листу
Стављање на црну и белу листу је ствар за сваку апликацију. Не постоји начин да се подесе глобалне подразумеване вредности за оно чему апликације у затвору могу да приступе. Фирејаил већ има много конфигурационих датотека. Они генеришу здрава подразумевана подешавања са овим конфигурационим датотекама, и као резултат тога, основни корисници неће морати да врше никакве измене. Ипак, ако сте напредни корисник, уређивање ових типова датотека може бити корисно.
Отворите терминал и идите на /етц/фирејаил.
cd /etc/firejail
Користите команду ЛС да видите сав садржај директоријума и користите цев да бисте сваку страницу учинили видљивом. Притисните тастер ентер да бисте померили страницу надоле.
Пронађите конфигурациону датотеку за своју апликацију и забележите је. У овом случају, наставићемо са примером Фирефок-а.
ls | more
Отворите Фирефок фирејаил профил у уређивачу текста нано.
sudo nano /etc/firejail/firefox.profile
Као што је раније речено, апликација Фирејаил има здраве подразумеване вредности. То значи да су програмери прошли кроз и поставили подразумеване вредности које би требало да раде за већину корисника. На пример: иако је апликација затворена, директоријум ~/Довнлоадс и директоријуми додатака на систему су доступни. Да бисте додали још ставки на ову белу листу, идите на одељак конфигурационе датотеке где се све ставља на белу листу и напишите своја правила.
На пример, да бих олакшао отпремање фотографија на мој Фацебоок профил у фирејаил верзији Фирефок-а, мораћу да додам:
whitelist ~/Pictures
Иста премиса се може користити за стављање на црну листу. Да бисте спречили да верзија Фирефок-а у заштићеном окружењу види одређене директоријуме (без обзира на све), слободно урадите нешто попут:
blacklist ~/secret/file/area
Сачувајте измене помоћу Цтрл + О
Напомена: „~/“ значи /хоме/тренутни корисник
Закључак
Санбокинг је сјајан начин да се заштитите од апликација које пропуштају воду или лоших актера који желе да украду ваше податке. Ако сте параноични на Линук-у, вероватно је добра идеја да озбиљно покушате са овом алатком.