Firejail - เรียกใช้แอปพลิเคชันที่ไม่น่าเชื่อถืออย่างปลอดภัยใน Linux
บางครั้งคุณอาจต้องการใช้แอปพลิเคชันที่ไม่ได้รับการทดสอบอย่างดีในสภาพแวดล้อมที่แตกต่างกัน แต่คุณต้องใช้แอปพลิเคชันเหล่านั้น ในกรณีเช่นนี้ เป็นเรื่องปกติที่จะต้องคำนึงถึงความปลอดภัยของระบบของคุณ สิ่งหนึ่งที่สามารถทำได้ใน Linux คือการใช้แอปพลิเคชันในแซนด์บ็อกซ์
“Sandboxing ” คือความสามารถในการเรียกใช้แอปพลิเคชันในสภาพแวดล้อมที่จำกัด ด้วยวิธีนี้ แอปพลิเคชันจะได้รับทรัพยากรในปริมาณที่จำกัดซึ่งจำเป็นต่อการรัน ด้วยแอปพลิเคชันที่ชื่อว่า Firejail คุณสามารถเรียกใช้แอปพลิเคชันที่ไม่น่าเชื่อถือใน Linux ได้อย่างปลอดภัย
Firejail เป็นแอปพลิเคชัน SUID (Set Owner User ID) ที่ลดความเสี่ยงจากการละเมิดความปลอดภัยโดยการจำกัดสภาพแวดล้อมการทำงานของโปรแกรมที่ไม่น่าเชื่อถือโดยใช้ Linux namespaces และ seccomp-bpf .
มันทำให้กระบวนการและผู้สืบทอดทั้งหมดมีมุมมองลับของตนเองเกี่ยวกับทรัพยากรเคอร์เนลที่ใช้ร่วมกันทั่วโลก เช่น สแต็กเครือข่าย ตารางกระบวนการ ตารางการเมานต์
คุณลักษณะบางอย่างที่ Firejail ใช้:
- เนมสเปซ Linux
- คอนเทนเนอร์ระบบไฟล์
- ตัวกรองความปลอดภัย
- การสนับสนุนเครือข่าย
- การจัดสรรทรัพยากร
ข้อมูลโดยละเอียดเกี่ยวกับฟีเจอร์ Firejail สามารถพบได้ในหน้าอย่างเป็นทางการ
วิธีการติดตั้ง Firejail ใน Linux
การติดตั้งสามารถทำได้โดยการดาวน์โหลดแพ็คเกจล่าสุดจากหน้า GitHub ของโปรเจ็กต์โดยใช้คำสั่ง git ดังที่แสดง
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
ในกรณีที่คุณไม่ได้ติดตั้ง git บนระบบของคุณ คุณสามารถติดตั้งได้ด้วย:
sudo apt install git [On Debian/Ubuntu]
yum install git [On CentOS/RHEL]
dnf install git [On Fedora 22+]
อีกวิธีหนึ่งในการติดตั้ง firejail คือการดาวน์โหลดแพ็คเกจที่เกี่ยวข้องกับการแจกจ่าย Linux ของคุณ และติดตั้งด้วยตัวจัดการแพ็คเกจ สามารถดาวน์โหลดไฟล์ได้จากหน้า SourceForge ของโครงการ เมื่อคุณดาวน์โหลดไฟล์แล้ว คุณสามารถติดตั้งได้ด้วย:
sudo dpkg -i firejail_X.Y_1_amd64.deb [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm [On CentOS/RHEL/Fedora]
วิธีเรียกใช้แอปพลิเคชันด้วย Firejail ใน Linux
ตอนนี้คุณพร้อมที่จะรันแอปพลิเคชันของคุณด้วย firejail แล้ว ซึ่งทำได้โดยการเปิดเทอร์มินัลและเพิ่ม firejail ก่อนคำสั่งที่คุณต้องการเรียกใช้
นี่คือตัวอย่าง:
firejail firefox #start Firefox web browser
firejail vlc # start VLC player
สร้างโปรไฟล์ความปลอดภัย
Firejail มีโปรไฟล์ความปลอดภัยมากมายสำหรับแอปพลิเคชันต่างๆ และจัดเก็บไว้ใน:
/etc/firejail
หากคุณสร้างโปรเจ็กต์จากแหล่งที่มา คุณสามารถค้นหาโปรไฟล์ได้ใน:
path-to-firejail/etc/
หากคุณใช้แพ็คเกจ rpm/deb คุณสามารถค้นหาโปรไฟล์ความปลอดภัยได้ใน:
/etc/firejail/
ผู้ใช้ควรวางโปรไฟล์ของตนไว้ในไดเร็กทอรีต่อไปนี้:
~/.config/firejail
หากคุณต้องการขยายโปรไฟล์ความปลอดภัยที่มีอยู่ คุณสามารถใช้การรวมกับเส้นทางไปยังโปรไฟล์และเพิ่มบรรทัดของคุณในภายหลัง สิ่งนี้ควรมีลักษณะดังนี้:
cat ~/.config/firejail/vlc.profile
include /etc/firejail/vlc.profile
net none
หากคุณต้องการจำกัดการเข้าถึงแอปพลิเคชันไปยังไดเร็กทอรีบางแห่ง คุณสามารถใช้กฎ บัญชีดำ เพื่อดำเนินการดังกล่าวได้ ตัวอย่างเช่น คุณสามารถเพิ่มสิ่งต่อไปนี้ลงในโปรไฟล์ความปลอดภัยของคุณได้:
blacklist ${HOME}/Documents
อีกวิธีหนึ่งในการบรรลุผลลัพธ์เดียวกันคือการอธิบายเส้นทางแบบเต็มไปยังโฟลเดอร์ที่คุณต้องการจำกัด:
blacklist /home/user/Documents
คุณสามารถกำหนดค่าโปรไฟล์ความปลอดภัยได้หลายวิธี เช่น การไม่อนุญาตการเข้าถึง การอนุญาตการเข้าถึงแบบอ่านอย่างเดียว เป็นต้น หากคุณสนใจที่จะสร้างโปรไฟล์แบบกำหนดเอง คุณสามารถตรวจสอบคำแนะนำ firejail ต่อไปนี้ได้
Firejail เป็นเครื่องมือที่ยอดเยี่ยมสำหรับผู้ใช้ที่คำนึงถึงความปลอดภัย และต้องการปกป้องระบบของพวกเขา