Іноді нам доводиться запускати додаток, якому ми не довіряємо, але ми боїмося, що це може виглядати або видаляти наші персональні дані, оскільки навіть якщо системи Linux менш схильні до шкідливих програм, вони не повністю імунізовані. Можливо, ви хочете отримати доступ до тіньового сайту. Або, можливо, вам потрібно отримати доступ до свого банківського рахунку або будь-якого іншого сайту, що має справу з конфіденційною приватною інформацією. Можливо довіряти веб-сайту, але не довіряйте додаткам або розширенням, встановленим у вашому веб-переглядачі.
У кожному з перерахованих вище випадків пісочниця корисна. Ідея полягає в тому, щоб обмежити не-довірену програму в ізольованому контейнері - пісочниці - так, щоб у неї не було доступу до наших персональних даних або до інших програм нашої системи. Хоча є програмне забезпечення під назвою Sandboxie, яке робить те, що нам потрібно, воно доступне лише для Microsoft Windows. Але користувачам Linux не потрібно турбуватися, оскільки у нас є Firejail для роботи.
Отже, без подальших труднощів, давайте подивимося, як налаштувати Firejail на системі Linux і використовувати його для пісочницьких програм у Linux:
Встановіть Firejail
Якщо ви використовуєте Debian, Ubuntu або Linux Mint, відкрийте термінал і введіть наступну команду :
sudo apt install firejail [/ sourcecode]
Введіть пароль облікового запису та натисніть клавішу Enter . Якщо вас запитають про підтвердження, введіть y
і натисніть ще раз Enter .
Якщо ви використовуєте Fedora або будь-який інший дистрибутив на основі RedHat, просто замініть apt з yum . Решта інструкцій залишаються незмінними:
sudo yum install firejail [/ sourcecode]
Тепер ви готові запустити Firejail.
Додатково: встановіть графічний інтерфейс
Ви можете встановити офіційний графічний інтерфейс для Firejail під назвою Firetools . Він не доступний в офіційних репозиторіях, тому нам доведеться його встановити вручну.
1. Завантажте інсталяційний файл для своєї системи. Користувачі Debian, Ubuntu і Mint повинні завантажити файл, що закінчується на .deb . Я перебуваю на 64-розрядному монетному дворі, тому я вибрав firetools_0.9.40.1_1_amd64.deb
.
2. Після завершення завантаження відкрийте термінал і перейдіть до папки " Завантаження", запустивши файл cd ~/Downloads.
3. Тепер встановіть пакет Firetools, виконавши команду sudo dpkg -i firetools*.deb
.
4. Введіть пароль, натисніть клавішу Enter і закінчите.
Базове використання
У терміналі напишіть firejail
, за яким слід виконати команду. Наприклад, щоб запустити Firefox :
[вихідний код] firejail firefox [/ sourcecode]
Не забудьте закрити всі вікна Firefox . Якщо ви цього не зробите, воно відкриє нову вкладку або вікно в поточному сеансі - заперечуючи будь-які переваги безпеки, які ви отримаєте від Firejail.
Аналогічно для Google Chrome :
[вихідний код] firejail google-chrome [/ sourcecode]
Запуск таких команд надає програмі доступ до лише декількох необхідних каталогів конфігурації та папки "Завантаження" . Доступ до решти файлової системи та інших каталогів у папці Home обмежений. Це можна продемонструвати, намагаючись отримати доступ до домашньої папки з Chrome:
Як ви можете бачити, більшість моїх папок, включаючи "Картинки", "Документи" та інші, недоступні в пісочному хромі. Якщо я все-таки спробую отримати доступ до них, змінивши URL-адресу, я отримаю помилку " Файл не знайдено" :
Далі обмеження додатків
Іноді вам можуть знадобитися більше обмежень, наприклад, ви можете використовувати повністю новий профіль веб-переглядача без історії та без додатків. Припустимо, ви не хочете, щоб веб-переглядач також отримував доступ до папки "Завантаження". Для цього можна використовувати приватний варіант. Запустіть програму наступним чином:
[вихідний код] firejail google-chrome – приватний [/ sourcecode]
Цей метод повністю обмежує додаток - він завжди починається у свіжому стані і не може навіть створювати або завантажувати нові файли.
Використання графічного інтерфейсу - Firetools
Якщо ви віддаєте перевагу використовувати GUI замість того, щоб виконувати команду кожного разу, ви можете використовувати графічний інтерфейс для Firejail під назвою Firetools . Відкрийте термінал і запустіть команду firetools
. Ви побачите таке вікно:
Ви можете двічі клацнути будь-яку попередньо налаштовану програму (Firefox і VLC тут), щоб запустити її в пісочниці. Якщо ви хочете додати програму, клацніть правою кнопкою миші на порожньому місці програми Firetools і натисніть Редагувати :
Тепер ви можете ввести назву, опис і команду, яку потрібно виконати. Команда буде такою ж, як і в консолі. Наприклад, щоб створити піктограму для Google Chrome, яку потрібно запустити в приватному режимі, потрібно ввести наступне:
Тепер просто двічі клацніть піктограму, яку ви тільки що створили, щоб запустити програму:
Виконати сумнівні програми надійно на Linux з Firejail
Саме це з нашої сторони, коли мова йде про пісочниці не довірених додатків у Linux з Firejail. Якщо ви хочете дізнатися більше про передові опції для пісочниці, які пропонує Firejail, зверніться до офіційної документації. Для чого ви використовуєте Firejail? Вона зберегла вас від шкідливих програм або веб-сайтів? Переконайтеся в тому, щоб повідомити нам, скинувши нам рядок у розділі коментарів нижче.