Ricerca nel sito web

Firejail: esegui in modo sicuro applicazioni non attendibili in Linux


A volte potresti voler utilizzare applicazioni che non sono state ben testate in ambienti diversi, ma devi utilizzarle. In questi casi, è normale essere preoccupati per la sicurezza del proprio sistema. Una cosa che può essere fatta in Linux è utilizzare le applicazioni in una sandbox.

"Sandboxing" è la capacità di eseguire l'applicazione in un ambiente limitato. In questo modo all'applicazione viene fornita una quantità ridotta di risorse, necessarie per l'esecuzione. Grazie all'applicazione chiamata Firejail, puoi eseguire in sicurezza applicazioni non attendibili in Linux.

Firejail è un'applicazione SUID (Set Owner User ID) che riduce l'esposizione alle violazioni della sicurezza limitando l'ambiente di esecuzione di programmi non attendibili utilizzando spazi dei nomi Linux e seccomp-bpf .

Fa sì che un processo e tutti i suoi discendenti abbiano la propria visione segreta delle risorse del kernel condivise a livello globale, come lo stack di rete, la tabella dei processi, la tabella di montaggio.

Alcune delle funzionalità utilizzate da Firejail:

  • Spazi dei nomi Linux
  • Contenitore del file system
  • Filtri di sicurezza
  • Supporto in rete
  • Assegnazione delle risorse

Informazioni dettagliate sulle funzionalità di Firejail possono essere trovate nella pagina ufficiale.

Come installare Firejail su Linux

L'installazione può essere completata scaricando il pacchetto più recente dalla pagina github del progetto utilizzando il comando git come mostrato.

git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip

Se non hai git installato sul tuo sistema, puoi installarlo con:

sudo apt install git  [On Debian/Ubuntu]
yum install git       [On CentOS/RHEL]
dnf install git       [On Fedora 22+]

Un modo alternativo per installare firejail è scaricare il pacchetto associato alla tua distribuzione Linux e installarlo con il suo gestore di pacchetti. I file possono essere scaricati dalla pagina SourceForge del progetto. Una volta scaricato il file, puoi installarlo con:

sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Come eseguire applicazioni con Firejail in Linux

Ora sei pronto per eseguire le tue applicazioni con firejail. Ciò si ottiene avviando un terminale e aggiungendo firejail prima del comando che desideri eseguire.

Ecco un esempio:

firejail firefox    #start Firefox web browser
firejail vlc        # start VLC player

Crea profilo di sicurezza

Firejail include molti profili di sicurezza per diverse applicazioni e sono archiviati in:

/etc/firejail

Se hai creato il progetto dal sorgente, puoi trovare i profili in:

path-to-firejail/etc/

Se hai utilizzato il pacchetto rpm/deb, puoi trovare i profili di sicurezza in:

/etc/firejail/

Gli utenti devono inserire i propri profili nella seguente directory:

~/.config/firejail

Se desideri estendere un profilo di sicurezza esistente, puoi utilizzare include con il percorso del profilo e aggiungere le tue righe in seguito. Dovrebbe assomigliare a questo:

cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Se desideri limitare l'accesso dell'applicazione a determinate directory, puoi utilizzare una regola di lista nera per ottenere esattamente questo risultato. Ad esempio, puoi aggiungere quanto segue al tuo profilo di sicurezza:

blacklist ${HOME}/Documents

Un altro modo per ottenere lo stesso risultato è descrivere effettivamente il percorso completo della cartella che desideri limitare:

blacklist /home/user/Documents

Esistono molti modi diversi in cui puoi configurare i tuoi profili di sicurezza, come impedire l'accesso, consentire l'accesso in sola lettura, ecc. Se sei interessato a creare profili personalizzati, puoi controllare le seguenti istruzioni firejail.

Firejail è uno strumento fantastico per gli utenti attenti alla sicurezza, che desiderano proteggere il proprio sistema.