Firejail: executeu de forma segura aplicacions no fiables a Linux

De vegades és possible que vulgueu utilitzar aplicacions que no s'han provat bé en diferents entorns, però les heu d'utilitzar. En aquests casos, és normal estar preocupat per la seguretat del vostre sistema. Una cosa que es pot fer a Linux és utilitzar aplicacions en un sandbox.

\Sandboxing és la capacitat d'executar l'aplicació en un entorn limitat. D'aquesta manera, l'aplicació disposa d'una quantitat reduïda de recursos, necessaris per executar-se. Gràcies a l'aplicació anomenada Firejail, podeu executar amb seguretat aplicacions que no són fiables a Linux.

Firejail és una aplicació SUID (Set Owner User ID) que redueix l'exposició a les infraccions de seguretat limitant l'entorn d'execució de programes no fiables mitjançant espais de noms Linux i seccomp-bpf.

Fa que un procés i tots els seus descendents tinguin la seva pròpia visió secreta dels recursos del nucli compartits globalment, com ara la pila de xarxa, la taula de processos, la taula de muntatge.

Algunes de les funcions que utilitza Firejail:

  • Espais de noms de Linux
  • Contenidor del sistema de fitxers
  • Filtres de seguretat
  • Suport a la xarxa
  • Assignació de recursos

Podeu trobar informació detallada sobre les funcions de Firejail a la pàgina oficial.

Com instal·lar Firejail a Linux

La instal·lació es pot completar descarregant l'últim paquet de la pàgina github del projecte mitjançant l'ordre git tal com es mostra.

$ git clone https://github.com/netblue30/firejail.git
$ cd firejail
$ ./configure && make && sudo make install-strip

En cas que no tingueu git instal·lat al vostre sistema, podeu instal·lar-lo amb:

$ sudo apt install git  [On Debian/Ubuntu]
# yum install git       [On CentOS/RHEL]
# dnf install git       [On Fedora 22+]

Una forma alternativa d'instal·lar firejail és descarregar el paquet associat a la vostra distribució Linux i instal·lar-lo amb el seu gestor de paquets. Els fitxers es poden descarregar des de la pàgina SourceForge del projecte. Un cop tingueu el fitxer descarregat, podeu instal·lar-lo amb:

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Com executar aplicacions amb Firejail a Linux

Ara ja esteu preparat per executar les vostres aplicacions amb firejail. Això s'aconsegueix llançant un terminal i afegint firejail abans de l'ordre que voleu executar.

Aquí teniu un exemple:

$ firejail firefox    #start Firefox web browser
$ firejail vlc        # start VLC player

Firejail inclou molts perfils de seguretat per a diferents aplicacions i s'emmagatzemen a:

/etc/firejail

Si heu creat el projecte des de l'origen, podeu trobar els perfils a:

# path-to-firejail/etc/

Si heu utilitzat el paquet rpm/deb, podeu trobar els perfils de seguretat a:

/etc/firejail/

Els usuaris han de col·locar els seus perfils al directori següent:

~/.config/firejail

Si voleu ampliar un perfil de seguretat existent, podeu utilitzar incloure amb ruta al perfil i afegir les vostres línies després. Això hauria de semblar a això:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Si voleu restringir l'accés de l'aplicació a un directori determinat, podeu utilitzar una regla de llista negra per aconseguir-ho exactament. Per exemple, podeu afegir el següent al vostre perfil de seguretat:

blacklist ${HOME}/Documents

Una altra manera d'aconseguir el mateix resultat és descriure realment el camí complet a la carpeta que voleu restringir:

blacklist /home/user/Documents

Hi ha moltes maneres diferents en què podeu configurar els vostres perfils de seguretat, com ara no permetre l'accés, permetre l'accés només de lectura, etc. Si esteu interessats a crear perfils personalitzats, podeu consultar les instruccions de firejail següents.

Firejail és una eina fantàstica per als usuaris de seguretat que volen protegir el seu sistema.