Linux je známý svou poměrně vysokou úrovní zabezpečení a v porovnání s ostatními velkými operačními systémy se u něj vyskytuje méně problémů s ochranou soukromí. Nicméně, bez ohledu na to, jak bezpečný Linux může být, vždy existuje prostor pro zlepšení. Představujeme Firejail, aplikaci, která uživatelům umožňuje „uzamknout“ nebo „izolovat“ libovolnou spuštěnou aplikaci. Firejail umožňuje izolovat aplikaci a zabránit jí v přístupu k jiným částem systému. Jedná se o oblíbený nástroj pro sandboxing v Linuxu, proto se mnoho distribucí rozhodlo tento software standardně nabízet. Zde je návod, jak získat Firejail na vašem Linuxovém systému.
UPOZORNĚNÍ: Na konci tohoto článku naleznete video tutoriál.
Instalace Firejail
Instalace na různých distribucích
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Nejste spokojeni s repozitářovou verzí Firejail pro Arch? Zvažte instalaci verze Git z AUR.
Fedora
Pro Fedoru bohužel není k dispozici balíček Firejail v základních repozitářích. Uživatelé Fedory mohou software nainstalovat prostřednictvím Copr.
Copr je podobný PPA v Ubuntu nebo AUR v Arch Linuxu. Uživatelé si mohou vytvářet vlastní repozitáře a sdílet software. Existuje několik repozitářů pro Firejail, a pokud ten zde uvedený přestane být aktualizovaný, můžete si najít jiný na webu Copr.
Pro instalaci Firejail na Fedoru proveďte následující kroky:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Stejně jako většina softwaru třetích stran pro Suse, Firejail je k dispozici v OBS. Pro nejnovější verze Leap a Tumbleweed je instalace rychlá. Software naleznete zde.
Použijte tlačítko 1-click pro instalaci pomocí YaST.
Ostatní distribuce
Zdrojový kód pro Firejail je snadno dostupný a kompilace je přímočará, pokud používáte nepodporovanou distribuci Linuxu.
Pro začátek nainstalujte Git. Otevřete správce balíčků, vyhledejte „git“ a nainstalujte jej. Dále nainstalujte nástroje pro sestavení specifické pro vaši distribuci, pokud je ještě nemáte (návod najdete na wiki vaší distribuce). Například pro Debian/Ubuntu potřebujete balíček build-essential.
Po instalaci Gitu, použijte jej pro stažení nejnovější verze Firejail:
git clone https://github.com/netblue30/firejail.git
Kód je na vašem systému. Vstupte do stažené složky pomocí příkazu cd:
cd firejail
Před kompilací je potřeba spustit konfiguraci, která prohledá systém a zjistí jeho parametry. Je to důležité a bez konfigurace se software nenainstaluje.
configure
Program je nakonfigurovaný. Nyní vygenerujte Makefile, který obsahuje instrukce pro sestavení softwaru, pomocí příkazu make.
make
Nakonec nainstalujte Firejail:
sudo make install-strip
Použití Firejail
Používání Firejail je jednoduché. Pro sandboxování programu stačí před jeho spuštěním použít předponu „firejail“. Například pro spuštění textového editoru Gedit v sandboxu použijte v terminálu příkaz: firejail gedit. Jednoduché sandboxování funguje tímto způsobem. Nicméně, vzhledem k tomu, jak je software sofistikovaný, je nutná konfigurace.
Pokud například spustíte firejail firefox, Firefox poběží v uzavřeném sandboxu a nic mimo něj k němu nebude mít přístup. To je skvělé pro zabezpečení, ale pokud chcete stáhnout obrázek do adresáře, Firejail mu nemusí dát přístup. Budete muset nastavit, do kterých adresářů sandbox má a nemá přístup. Zde je postup, jak na to:
Profily povolených a zakázaných adresářů
Seznamy povolených a zakázaných adresářů se nastavují pro každou aplikaci zvlášť. Neexistuje žádný způsob, jak nastavit globální výchozí pravidla. Firejail již má přednastavené konfigurační soubory s rozumnými výchozími hodnotami, takže běžní uživatelé nemusí nic upravovat. Pokročilí uživatelé však mohou chtít tyto soubory upravovat.
Otevřete terminál a přejděte do /etc/firejail.
cd /etc/firejail
Pomocí příkazu ls | more si zobrazte obsah adresáře.
Najděte konfigurační soubor pro vaši aplikaci. V tomto příkladu budeme pokračovat s Firefoxem.
ls | more
Otevřete profil Firefoxu v textovém editoru nano.
sudo nano /etc/firejail/firefox.profile
Výchozí nastavení Firejail jsou rozumná. Vývojáři nastavili výchozí hodnoty, které fungují pro většinu uživatelů. Například adresáře ~/Downloads a pluginy jsou přístupné. Pokud chcete přidat další povolené adresáře, přidejte pravidla do příslušné sekce konfiguračního souboru.
Například, pokud chci povolit nahrávání fotografií na Facebook ve Firefoxu spuštěném přes Firejail, přidám:
whitelist ~/Pictures
Stejný princip se dá použít i pro zakazování adresářů. Chcete-li zakázat přístup do určitého adresáře (bez ohledu na to, co se tam nachází), použijte například:
blacklist ~/secret/file/area
Uložte změny stisknutím Ctrl + O.
Poznámka: „~/“ znamená /home/uživatelské_jméno.
Závěr
Sandboxing je efektivní způsob, jak se chránit před zranitelnými aplikacemi a nekalými úmysly. Pokud jste na Linuxu ostražití, měli byste tento nástroj vyzkoušet.