Как повысить безопасность вашей системы Linux с помощью Firejail

Linux всегда воспринимается как более безопасная ОС, чем его аналоги. Однако это не означает, что он полностью невосприимчив к вирусам, червям и другим зловредам. Как и любая другая операционная система, она имеет свой набор ограничений, и многое зависит от того, как человек ее использует.

Конечно, ничто не может гарантировать абсолютную защиту, но есть способы, которые очень усложняют жизнь вирусам, червям и хакерам в целом. Если вы ищете такое решение, не ищите дальше: в этом руководстве мы обсудим программное обеспечение под названием Firejail, которое может повысить безопасность вашей системы Linux.

Повысьте безопасность вашей системы

Чтобы повысить безопасность вашего компьютера с Linux, вам необходимо установить и использовать Firejail. По сути, это программа SUID, которая ограничивает рабочую среду ненадежных приложений, снижая риск нарушений безопасности. За кулисами Firejail позволяет процессу, а также его дочерним элементам иметь собственное личное представление о глобально разделяемых ресурсах ядра, включая сетевой стек, таблицу процессов и таблицу монтирования.

Приложение написано на языке C и не имеет никаких зависимостей. Конечно, у него есть некоторые требования. Например, он совместим только с компьютерами Linux с версией ядра 3.x или новее. Что касается того, какие процессы инструмент может помещать в песочницу, ответ — «любые». Да, вы можете использовать его с серверами и графическими приложениями, а также с играми и сеансами входа в систему.

Монтаж

Утилиту можно скачать со страницы проекта SourceForge или из раздела «Загрузки» на официальном сайте инструмента.

На странице загрузки представлены пакеты .tar, .deb и .rpm, а также для 32- и 64-битной архитектуры. Поскольку я использую Ubuntu, я загрузил пакет .deb и установил его с помощью установщика пакетов GDebi.

Применение

Теперь, чтобы отправить процесс в изолированную среду, все, что вам нужно сделать, это передать имя соответствующего приложения в качестве аргумента команде firejail. Например, чтобы изолировать веб-браузер Firefox с помощью Firejail, выполните следующую команду:

firejail firefox

Хотя выходных журналов командной строки должно быть достаточно, чтобы дать вам представление о том, что Firefox теперь работает в изолированной среде, чтобы увидеть, как Firejail ограничивает доступ веб-браузера, попробуйте открыть файл (Файл -> Открыть) из окна Firefox. . Вы увидите, что список локаций, доступных приложению, сократился.

Для сравнения, вот список, когда Firefox запускается без Firejail.

Стоит отметить, что Firejail монтирует временную файловую систему «tmpfs» поверх каталога «/home/user». Любые файлы, созданные в этом каталоге, будут удалены после выхода из песочницы.

Инструмент включает профили безопасности для большого количества программ Linux. Чтобы лучше понять, что такое профили безопасности, подумайте о них как о файлах конфигурации, которые содержат правила, определяющие, например, какой доступ к файлам разрешен, а какой нет. Для получения дополнительной информации об изолированной программной среде Firejail, а также о том, как создавать и настраивать профили безопасности, обратитесь к документации инструмента.

Те, кто не особо разбирается в командной строке, будут рады узнать, что для изолированной программной среды безопасности Firejail существует графический интерфейс, известный как Firetools. Этот инструмент, созданный с использованием библиотек Qt4/Qt5, поставляется в виде отдельного пакета. Он предоставляет средство запуска песочницы, интегрированное с панелью задач, редактированием, управлением и статистикой песочницы.

Чтобы установить Firetools, перейдите на эту страницу, загрузите пакет, совместимый с вашей системой, и установите его соответствующим образом. После завершения установки запустите утилиту с помощью следующей команды:

firetools

Заключение

Неважно, какую операционную систему вы используете — никогда не следует упускать из виду аспект безопасности. А если ваша система содержит конфиденциальную информацию в форме, скажем, документов, файлов или изображений, безопасность системы должна быть на первом месте в вашем списке приоритетов. Для Linux решение, которое мы обсуждали в этой статье, легко настроить и использовать. Кроме того, по нему доступно множество документации на случай, если вам понадобится помощь. Попробуйте.