2.9.17.3 Firejail - система изолированного запуска приложений
Скачать документУстановка
Работа с утилитой
Дополнительные настройки
Окружение
- Версия РЕД ОС: 7.3
- Конфигурация: Рабочая станция
- Версия ПО: firejail 0.9.56
Firejail — это простая в использовании система изолированного выполнения графических, консольных и серверных приложений, которая снижает риск нарушений безопасности за счет ограничения рабочей среды потенциально уязвимых программ с использованием пространств имен (namespaces), фильтрации системных вызовов (seccomp-bpf) и возможностей AppArmor.
Вы можете подробнее ознакомиться с настройкой и работой системы firejail, просмотрев наши обучающие видео:
на RuTube — firejail - система изолированного запуска приложений;
в Яндекс.Дзен — firejail - система изолированного запуска приложений;
в VK Видео — firejail - система изолированного запуска приложений.
На наших каналах вы также сможете найти много другой полезной информации.
Установка
Для установки firejail перейдите в сеанс пользователя root:
su -
и выполните команду:
dnf install firejail
Работа с утилитой
Для того чтобы запустить приложение изолированно, нужно выполнить команду вида firejail <имя_программы>:
Например:
firejail firefox
При запуске браузера обычным способом доступны следующие данные пользователя:
При запуске браузера из контейнера доступ к большинству пользовательских данных ограничен.
Дополнительные настройки
Для просмотра доступных профилей приложений, которые поддерживает firejail, выполните:
ls /etc/firejail
Далее настройка будет выполняться на примере firefox.
Firejail имеет стандартные настройки по умолчанию. Даже если приложение находится в контейнере, каталог ~/Downloads и каталоги плагинов в системе доступны. Для того чтобы добавить больше элементов в белый список, перейдите в раздел whitelist конфигурационного файла и пропишите свои собственные правила.
Откройте файл:
nano /etc/firejail/firefox.profile
В нем вы можете настроить доступ к файлам, вносить их в черный и белый списки.
# Firejail profile for firefox
# Description: Safe and easy web browser from Mozilla
# This file is overwritten after every install/update
# Persistent local customizations
include firefox.local
# Persistent global definitions
include globals.local
noblacklist ${HOME}/.cache/mozilla
noblacklist ${HOME}/.mozilla
mkdir ${HOME}/.cache/mozilla/firefox
mkdir ${HOME}/.mozilla
whitelist ${HOME}/.cache/mozilla/firefox
whitelist ${HOME}/.mozilla
# firefox requires a shell to launch on Arch.
#private-bin firefox,which,sh,dbus-launch,dbus-send,env,bash
# private-etc must first be enabled in firefox-common.profile
#private-etc firefox
# Redirect
include firefox-common.profile
Для того чтобы внести файл в белый список, необходимо прописать:
whitelist ~/<расположение_файла>
Например:
whitelist ~/Pictures
Для того чтобы внести файл в черный список, необходимо прописать:
blacklist ~/<расположение_файла>
Например:
blacklist ~/ secret/file/area
Дата последнего изменения: 09.09.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.