Linux je stekao reputaciju kao prilično siguran operativni sistem, i u poređenju sa ostala tri velika operativna sistema, znatno manje problema ima kada je reč o zaštiti privatnosti. Međutim, bez obzira na to koliko Linux može biti siguran, uvek postoji prostor za poboljšanje. Upoznajte Firejail. To je aplikacija koja omogućava korisnicima da bilo koju pokrenutu aplikaciju „zatvore“ ili „enkapsuliraju“ u zaštićenom prostoru. Firejail vam omogućava da izolujete aplikaciju i sprečite je da pristupi bilo čemu drugom na sistemu. Ova aplikacija je najpopularniji alat za sandboxing programa na Linuxu. Zbog toga su mnoge Linux distribucije odlučile da isporučuju ovaj softver. Evo kako da instalirate Firejail na Linux.
UPOZORENJE: Pogledajte video vodič na kraju ovog članka.
Instalacija
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Niste zadovoljni verzijom Firejail-a iz repozitorijuma na Arch-u? Razmislite o kompajliranju Git verzije sa AUR-a.
Fedora
Nažalost, ne postoji Firejail paket za Fedoru. Glavni repozitorijumi ga nemaju, i nema naznaka da će se ovo promeniti. Korisnici Fedore ipak mogu da instaliraju softver, koristeći Copr.
Copr je veoma sličan PPA-ovima na Ubuntu-u ili Arch Linux AUR-u. Svaki korisnik može kreirati Copr repozitorijum i postaviti softver na njega. Postoji mnogo Firejail Copr repozitorijuma, tako da ako ovaj koji koristimo u ovom članku prestane da se ažurira, slobodno posetite veb stranicu i pronađite zamenu.
Da biste dobili Firejail na Fedori, uradite:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Kao i većina softvera nezavisnih proizvođača za SUSE, korisnici će pronaći Firejail u OBS-u. Verzije Firejail-a se mogu brzo instalirati za najnovije verzije Leap-a i Tumbleweed-a. Možete ih pronaći ovde.
Obavezno kliknite na dugme za instalaciju jednim klikom da biste instalirali preko YaST-a.
Ostalo
Izvorni kod za Firejail je lako dostupan i jednostavan za kompilaciju ako koristite nepodržanu Linux distribuciju.
Za početak, instalirajte Git paket na svoju verziju Linux-a. Uradite to tako što ćete otvoriti menadžer paketa, potražiti „git“ i instalirati ga u sistem. Takođe, obavezno instalirajte sve alate za pravljenje specifične za vašu Linux distribuciju, ako već niste (trebalo bi da bude lako pronaći, samo proverite wiki svoje distribucije). Na primer, kompilacija na Debian/Ubuntu zahteva build-essential.
Kada se Git paket instalira na sistem, koristite ga da preuzmete najnoviju verziju Firejail softvera.
git clone https://github.com/netblue30/firejail.git
Kod je na sistemu. Uđite u preuzetu fasciklu da biste započeli proces izgradnje pomoću naredbe cd.
cd firejail
Pre kompilacije ovog softvera, moraćete da pokrenete konfiguraciju. Ovo će skenirati vaš računar i reći softveru šta vaš računar ima, koje su specifikacije itd. Ovo je važno i bez toga softver neće biti izgrađen.
configure
Program je konfigurisan za kompilaciju. Sada, hajde da generišemo makefile. Makefile sadrži uputstva za kreiranje dela softvera. Uradite to komandom make.
make
Na kraju, instalirajte firejail softver na svoj sistem:
sudo make install-strip
Korišćenje Firejail-a
Pokretanje programa sa Firejail-om je jednostavno. Za osnovni programski sandbox, sve što je potrebno je da koristite prefiks „firejail“ pre unosa komande. Na primer: da biste pokrenuli uređivač teksta Gedit u sandbox okruženju i odvojili ga od ostatka vaše Linux instalacije, uradite: firejail gedit u terminalu. To je otprilike način na koji ovo funkcioniše. Za jednostavno sandboxing, ovo je dovoljno. Međutim, zbog toga koliko je ovaj softver specifičan, potrebna je određena konfiguracija.
Na primer: ako pokrenete firejail firefox, Firefox pregledač će raditi u zatvorenom sandbox okruženju i ništa drugo na sistemu neće moći da ga dodirne. Ovo je odlično za sigurnost. Međutim, ako želite da preuzmete sliku u direktorijum, možda nećete moći, jer Firejail možda nema pristup svakom direktorijumu na vašem sistemu itd. Kao rezultat toga, moraćete da navedete gde sandbox MOŽE i NE MOŽE da pristupi na sistemu. Evo kako to da uradite:
Postavljanje profila na belu i crnu listu
Postavljanje na crnu i belu listu je specifično za svaku aplikaciju. Ne postoji način da se postave globalne podrazumevane vrednosti za ono čemu aplikacije u sandboxu mogu da pristupe. Firejail već ima veliki broj konfiguracionih datoteka. One generišu zdrave podrazumevane vrednosti sa ovim konfiguracionim datotekama, i kao rezultat toga, osnovni korisnici neće morati da vrše nikakve izmene. Ipak, ako ste napredni korisnik, uređivanje ovih datoteka može biti korisno.
Otvorite terminal i idite na /etc/firejail.
cd /etc/firejail
Koristite naredbu ls da vidite sav sadržaj direktorijuma i upotrebite pipe da prikažete sadržaj na stranicama. Pritisnite taster enter da biste se kretali kroz stranice.
Pronađite konfiguracionu datoteku za svoju aplikaciju i zabeležite je. U ovom slučaju, nastavićemo sa primerom Firefox-a.
ls | more
Otvorite Firefox Firejail profil u uređivaču teksta nano.
sudo nano /etc/firejail/firefox.profile
Kao što je ranije rečeno, aplikacija Firejail ima zdrave podrazumevane vrednosti. To znači da su programeri podesili podrazumevane vrednosti koje bi trebalo da rade za većinu korisnika. Na primer: iako je aplikacija u sandbox okruženju, direktorijum ~/Downloads i direktorijumi dodataka na sistemu su dostupni. Da biste dodali još stavki na ovu belu listu, idite na odeljak konfiguracione datoteke gde se sve stavlja na belu listu i napišite svoja pravila.
Na primer, da bih olakšao otpremanje fotografija na moj Facebook profil u firejail verziji Firefox-a, moraću da dodam:
whitelist ~/Pictures
Ista premisa se može koristiti za stavljanje na crnu listu. Da biste sprečili da verzija Firefox-a u sandbox okruženju vidi određene direktorijume (bez obzira na sve), slobodno uradite nešto poput:
blacklist ~/secret/file/area
Sačuvajte izmene pomoću Ctrl + O
Napomena: „~/“ znači /home/trenutni_korisnik
Zaključak
Sandboxing je odličan način da se zaštitite od aplikacija koje imaju propuste ili od zlonamernih aktera koji žele da ukradu vaše podatke. Ako ste oprezni na Linuxu, verovatno je dobra ideja da ozbiljno razmislite o ovom alatu.