Cara menggunakan Firejail di Linux untuk mengisolasi dan melindungi aplikasi.

Jika Anda menggunakan GNU/Linux setiap hari dan khawatir tentang keamanan, privasi, dan program yang tidak dapat diandalkanCepat atau lambat, Anda akan menemukan Firejail. Utilitas kecil ini telah menjadi salah satu cara termudah untuk mengisolasi aplikasi dalam lingkungan tertutup selama bertahun-tahun, tanpa perlu menyiapkan mesin virtual atau bersusah payah dengan konfigurasi yang tak berujung.

Idenya sederhana: Anda menjalankan program Anda yang "disisipkan" di dalam Firejail. Dan dari situ, proses tersebut melihat sistem file, jaringan, pengguna, dan perangkat yang jauh lebih terbatas daripada yang sebenarnya. Dengan cara itu, sebuah PDF Yang mencurigakan, peramban yang sarat dengan ekstensi atau gim aneh dari itch.io memiliki peluang lebih kecil untuk menimbulkan kerusakan pada sistem.

Apa itu Firejail dan bagaimana cara kerjanya di dalam?

Penjara api adalah Program C, bertipe SUID dan berlisensi GPLv2Ia bertindak sebagai sandbox untuk proses-proses di GNU/Linux. Tugasnya adalah meminimalkan dampak aplikasi yang disusupi dengan menciptakan lingkungan eksekusi dengan hak akses terbatas di mana setiap proses memiliki "pandangan terpisah" sendiri terhadap sistem.

Dari segi teknis, hal ini bergantung pada beberapa hal. Fitur keamanan kernel LinuxNamespace, filter panggilan sistem dengan seccomp-bpf, kontrol kapasitas, dan isolasi sistem file. Berkat ini, proses yang berjalan di dalam sandbox memiliki tabel proses, tumpukan jaringan, tabel pemasangan, dan, secara umum, kumpulan sumber daya virtualisasi sendiri.

Salah satu kelebihannya adalah Hampir tidak memiliki ketergantungan dan biaya operasionalnya minimal.Program ini tidak menjalankan daemon latar belakang, membuka soket untuk manajemen, atau memerlukan layanan tambahan. Program ini hanya berjalan saat dipanggil dan mengonsumsi sumber daya sambil menjaga agar sandbox tetap aktif.

Selain itu, Firejail hadir dengan profil keamanan yang telah ditentukan sebelumnya untuk ratusan program desktop dan layanan: peramban seperti Firefox dan Chromium, pemutar media seperti VLC, klien BitTorrent seperti Transmission, klien email, game (termasuk Steam), alat obrolan, server seperti Apache atau Nginx, klien SSH, anggurdll. Jika tidak ada profil khusus untuk suatu program, maka profil generik akan diterapkan.

Mekanisme keamanan utama yang digunakan oleh Firejail

Untuk benar-benar memahami apa yang dilakukan Firejail, ada baiknya untuk meninjau hal-hal berikut ini. mekanisme kernel yang dimanfaatkannyaAnda tidak perlu menjadi peretas kernel, tetapi Anda perlu memahami konteks untuk mengetahui apa yang Anda perkuat ketika Anda mengubah opsi-opsinya.

Ruang nama Linux Mereka memungkinkan sekelompok proses untuk berbagi "namespace" mereka sendiri: pengidentifikasi proses (PID), nama host, pengguna, titik pemasangan, jaringan, dll. Firejail membuat namespace ini sehingga program yang diisolasi hanya melihat sumber daya yang sesuai dengannya di dalam lingkungan yang terenkapsulasi tersebut.

Mulai dari kernel branch 2.6 dan seterusnya, dan khususnya dari versi 3.x, berbagai jenis namespace (PID, UTS, mount, user, network, IPC, dll.) telah ditambahkan. Firejail bergantung pada namespace ini untuk... Proses tersebut memiliki jaringannya sendiri, pohon prosesnya sendiri, dan sistem filenya sendiri., semuanya terpisah dari bagian sistem lainnya.

Selain namespace, Firejail mengimplementasikan kebijakan kontrol akses tingkat sistem file Berdasarkan daftar putih (whitelist) dan daftar hitam (blacklist). Ini memungkinkan Anda untuk menentukan direktori yang dapat diakses oleh aplikasi, direktori lain yang hanya dapat dibaca, dan direktori lain yang sepenuhnya diblokir, baik di direktori root maupun di dalam direktori home pengguna.

Secara paralel, hal berikut ini ikut berperan. seccomp-bpfFilter panggilan sistem dikaitkan dengan proses dan turunannya. Dengan menggunakan bahasa penyaringan berbasis Berkeley Packet Filter (BPF), Firejail membatasi panggilan sistem mana yang dapat dieksekusi oleh aplikasi. Jika aplikasi mencoba melakukan sesuatu yang tidak diizinkan oleh kebijakan, panggilan tersebut diblokir atau prosesnya dihentikan, sehingga secara signifikan mengurangi potensi serangan.

Firejail juga terintegrasi dengan baik dengan AppArmor dan SELinuxSolusi-solusi ini MAC (Kontrol Akses Wajib) mendefinisikan sumber daya apa yang dapat digunakan oleh suatu aplikasi, sementara Firejail menambahkan lapisan isolasi tambahan: bahkan jika dua aplikasi memiliki izin pada sumber daya yang sama menurut AppArmor, dengan Firejail Anda dapat membuat mereka tidak dapat berinteraksi satu sama lain karena masing-masing berada di dalam sandbox-nya sendiri.

Keunggulan praktis menggunakan Firejail

Bagi pengguna awam, yang terpenting bukanlah teorinya, melainkan apa yang dicapai dalam penggunaan sehari-hari: Keamanan lebih baik tanpa mengubah cara Anda bekerja. Secara radikal. Firejail berfokus tepat pada hal itu.

Di satu sisi, ada isolasi aplikasi yang berpotensi berbahayaFile PDF yang terasa mencurigakan, dokumen kantor yang dikirimkan melalui email, situs web yang tidak jelas, atau AppImage yang diunduh dari entah mana, semuanya berjalan di lingkungan yang membatasi kemampuan mereka untuk mengakses sistem.

Di sisi lain, ia menawarkan batasan sumber daya yang sangat rinciAnda dapat membatasi jaringan (memutus internet sepenuhnya, memberikannya alamat IP sendiri, membatasi bandwidth), mengurangi akses ke sistem file (daftar putih dan daftar hitam), menghapus perangkat dari /dev, mengontrol server suara, atau bahkan mengubah server DNS yang berkomunikasi dengan aplikasi.

Salah satu poin yang sangat menarik adalah bahwa penggunaan dasarnya adalah Sangat sederhana: firejail program_nameAnda tidak perlu mengedit file konfigurasi untuk memulai; profil yang telah ditentukan sebelumnya mencakup sebagian besar penggunaan umum. Anda hanya perlu mulai menyesuaikan profil khusus jika ingin pengaturan yang lebih kompleks.

Meskipun berfokus pada GNU/Linux, Firejail juga telah diporting atau diadaptasi ke platform lain. sistem tipe lainnya Unix seperti beberapa varian BSD atau bahkan macOS, meskipun keunggulannya benar-benar terlihat di lingkungan Linux dengan kernel 3.xo atau lebih tinggi.

Cara menginstal Firejail dan Firetools pada berbagai distribusi Linux.

Menginstal Firejail semudah mencabutnya. pengelola paket distribusi AndaBiasanya tidak terinstal secara bawaan, tetapi tersedia di repositori resmi hampir semua distribusi modern.

Pada sistem berbasis Debian dan Ubuntu, cukup gunakan APT: sudo apt install firejailPada distribusi turunan seperti Linux Mint, Elementary, atau yang serupa, perintahnya sama persis dan akan mengunduh paket dari repositori distribusi tersebut.

Dalam Debian "murni", Anda dapat menggunakan sudo apt-get install firejailSedangkan di Arch Linux dan turunannya seperti Manjaro, paket tersebut ada di repositori resmi dan diinstal dengan sudo pacman -S firejailDi Gentoo, letaknya di pohon utama sebagai sys-apps/firejail dan diinstal menggunakan muncul –tanyakan sys-apps/firejail atau varian LTS-nya.

Di Fedora, Anda dapat memilih untuk mengunduh RPM dari SourceForge lalu jalankan dengan `sudo rpm -i`, atau aktifkan repositori Copr tertentu (misalnya, `ssabchew/firejail`) lalu instal dengan `dnf`. Di openSUSE, tersedia melalui sistem klasik instalasi sekali klik dari repositori yang direkomendasikan untuk Tumbleweed atau Leap.

Jika distribusi Linux Anda tidak menawarkannya dalam bentuk paket, Anda selalu dapat mengkompilasinya dari kode sumber: git clone https://github.com/netblue30/firejail.git; cd firejail; ./configure && make && sudo make install-stripIni adalah proyek ringan dengan sedikit dependensi, jadi biasanya dapat dikompilasi tanpa masalah.

Untuk memiliki antarmuka grafis, Anda memiliki Firetools, yang biasanya diinstal dengan pengelola paket yang sama, misalnya sudo apt install firetoolsPaket ini menambahkan peluncur kecil ke baki sistem dan utilitas untuk mengelola sandbox secara grafis.

Cara menggunakan Firejail dari terminal.

Cara paling langsung untuk memanfaatkan Firejail adalah melalui jalur perintahFilosofi mereka sangat jelas: tambahkan kata firejail ke perintah yang Anda inginkan. Tidak ada lagi.

Sebagai contoh, untuk menjalankan Firefox dalam lingkungan terisolasi (sandbox), Anda akan menggunakan firefox penjara apiuntuk VLC Penjara Api VLC, untuk Transmisi Transmisi Firejail-gtk atau untuk gedit firejail geditFirejail mendeteksi program tersebut, memeriksa apakah ada profil yang sesuai di /etc/firejail, dan menerapkan pembatasan yang telah ditentukan.

Ini juga dapat digunakan dengan layanan atau setan server, diluncurkan sebagai akarContoh tipikalnya adalah memulai Nginx dengan `sudo firejail /etc/init.d/nginx start`, atau layanan lain apa pun yang ingin Anda jalankan di dalam sandbox dengan jaringannya sendiri dan sistem file terbatas.

Jika Anda ingin mengetahui sandbox mana yang aktif pada waktu tertentu, Anda dapat menjalankan perintah berikut: penjara api – daftarProgram ini akan menampilkan daftar yang berisi PID, pengguna, dan perintah yang terkait dengan setiap lingkungan terisolasi, sangat mirip dengan perintah ps yang telah difilter.

Saat Anda ingin memeriksa sumber daya yang dikonsumsi oleh aplikasi di bawah Firejail, Anda memiliki subperintah penjara api – atas, yang menampilkan tabel dengan PID, pengguna, memori residen, memori bersama, CPU yang digunakan, proses anak, dan waktu eksekusi, semuanya difokuskan pada instance yang diluncurkan melalui sandbox.

Untuk melihat hierarki proses lengkap di dalam setiap sandbox, Anda dapat menjalankan perintah berikut: penjara api – pohonyang menyajikan pohon proses dengan instance "induk" firejail dan semua proses yang bergantung padanya. Jika ada instance yang menjadi tidak responsif, firejail –shutdown=PID Ini memungkinkan Anda untuk menghapus sandbox tertentu itu.

Profil Firejail: di mana letaknya dan bagaimana cara memodifikasinya

Potensi sejati Firejail terletak pada profil konfigurasiIni adalah file tekstur yang menjelaskan bagaimana setiap aplikasi harus diisolasi: direktori mana yang dapat dilihatnya, kemampuan kernel apa yang dapat digunakannya, apa yang terjadi pada jaringan, apakah server grafis alternatif diaktifkan, dan lain sebagainya.

Profil sistem biasanya disimpan di /etc/firejail/Jika Anda menjalankan perintah ls di direktori tersebut, Anda akan melihat kumpulan file dengan ekstensi .profile, yang masing-masing terkait dengan program tertentu: firefox.profile, vlc.profile, chromium.profile, steam.profile, server.profile, dll.

Untuk menyesuaikan perilaku profil standar, cukup buka profil tersebut dengan editor favorit Anda, misalnya dengan sudo nano /etc/firejail/firefox.profileDi sana Anda dapat mengaktifkan atau menonaktifkan kebijakan seperti daftar hitam, daftar putih, pembatasan /dev, opsi jaringan, kontrol suara, atau menonaktifkan akselerasi 3D.

Jika Anda ingin mengetahui sintaks apa yang didukung oleh bahasa pembuatan profil, Firejail menyertakan halaman manual khusus: profil penjara kebakaran pria 5Dokumen ini menjelaskan arti dari setiap perintah (include, blacklist, whitelist, caps.keep, net, x11, dll.) dan cara menggabungkannya untuk mencapai kebijakan isolasi yang Anda inginkan.

Jika Anda ingin menyesuaikan program tanpa menyentuh profil global /etc, Anda dapat membuat sebuah profil pengguna lokalFile-file tersebut tersimpan di ~/.config/firejail/ dan memiliki nama yang sama dengan profil resmi. Misalnya, jika Anda ingin VLC tidak pernah memiliki akses internet, Anda dapat membuat ~/.config/firejail/vlc.profile dengan konten yang mirip dengan:

sertakan /etc/firejail/vlc.profile
bersih tidak ada

Lain kali kamu berlari Penjara Api VLCProfil sistem akan diterapkan terlebih dahulu, kemudian pengaturan tambahan Anda, yang memberlakukan isolasi jaringan ekstra tanpa perlu mengubah file di /etc.

Daftar putih, daftar hitam, dan kontrol sistem file

Salah satu kegunaan Firejail yang paling ampuh adalah kemampuannya untuk batasi direktori tertentu yang dapat diakses oleh suatu aplikasi. Anda mencapai hal ini dengan aturan daftar putih (whitelist) dan daftar hitam (blacklist), baik dalam profil global maupun profil khusus.

Jika Anda ingin, misalnya, mencegah aplikasi mengakses folder Dokumen pengguna, Anda dapat menambahkan baris berikut. daftar hitam ${HOME}/Dokumen ke profil. Atau, Anda dapat menggunakan jalur lengkap seperti blacklist /home/user/Documents jika Anda lebih suka tidak menggunakan variabel.

Sebaliknya, jika Anda ingin sebuah program hanya memiliki akses ke subset yang sangat spesifik dari direktori HOME, Anda dapat menggunakan whitelistKombinasi yang sangat umum adalah memblokir akses ke /boot, /root, atau direktori sensitif tertentu, dan secara paralel memberikan izin ke satu direktori saja. descargas atau folder sementara tempat Anda akan menyimpan apa yang benar-benar Anda butuhkan.

Aturan daftar digabungkan dengan opsi seperti –hanya baca=/dll sehingga direktori tertentu dapat diakses, tetapi hanya dalam mode baca, atau dengan –rumah-pribadi, –dll-pribadi, –bin-pribadi untuk membuat versi sementara dari rute-rute tersebut di dalam lingkungan uji coba (sandbox).

Pada profil tingkat lanjut, Anda bahkan dapat menggunakan arahan pengikatan seperti mengikat asal, tujuan, yang lazim di lingkungan server, sehingga direktori sistem sebenarnya (misalnya /server/web1) dilihat di dalam sandbox sebagai /var/www/html, semuanya di bawah kendali akses yang jauh lebih ketat.

Mode privat dan sistem file sementara

Jika Anda menginginkan insulasi maksimal, Firejail menawarkan mode yang sangat agresif: -pribadiSaat diaktifkan, aplikasi akan melihat direktori HOME sementara yang terpasang di tmpfs, dengan struktur direktori minimal, dan semua yang ditulisnya akan hilang saat sandbox ditutup.

Mode ini ideal untuk periksa perbankan online atau jalankan aplikasi yang sangat sensitif tanpa membawa serta pengaturan, ekstensi, cache, riwayat, dll. Jika Anda meluncurkan browser dengan firejail --private, browser akan menggunakan konfigurasi default-nya, tanpa add-on atau kustomisasi, yang mengurangi potensi serangan.

Anda juga dapat menyempurnakan perilaku ini dengan –private=direktorimenunjukkan alternatif HOME yang terus-menerus, atau mencampurnya dengan –private-tmp y –cache pribadi sehingga direktori seperti /tmp atau ~/.cache bersifat sementara, sementara Anda menyimpan elemen profil "nyata" lainnya.

Mekanisme ampuh lainnya adalah –overlay-tmpfsIni menciptakan lapisan sistem file sementara di atas sistem sebenarnya, sehingga semua perubahan penulisan tetap berada di lapisan sementara. Hal ini memungkinkan, misalnya, Instal paket di dalam sandbox dan ujilah. tanpa meninggalkan jejak pada sistem host saat Anda menutup sesi Firejail.

Dalam skenario ini, sangat penting untuk berhati-hati dengan kombinasi opsi, karena jika Anda menggunakan –tanpa profil Dan jika Anda tidak memblokir /tmp dengan benar, Anda masih dapat mengizinkan penulisan ke bagian sistem yang tidak ingin Anda sentuh. Praktik umum adalah menambahkan arahan seperti `--blacklist=/tmp` atau menggunakan daftar putih yang sangat spesifik untuk membatasi area penulisan.

Kontrol jaringan: memutus akses internet, memisahkan IP, dan membatasi bandwidth.

Aspek penting lain dari Firejail adalah manajemen jaringan. Dengan satu parameter saja, Anda dapat mengizinkan sebuah aplikasi untuk... sepenuhnya offline atau menyiapkan tumpukan jaringan sendiri dengan IP, firewall, dan tabel ARP individual yang terpisah dari sistem.

Untuk menonaktifkan konektivitas, cukup gunakan –net=tidak adaSebagai contoh, dalam perintah seperti `firejail --net=none vlc`, `firejail --net=none clementine`, atau program lain yang ingin Anda blokir aksesnya ke internet. Ini ideal untuk pemutar media, penampil gambar, editor teks, atau program serupa yang tidak perlu mengakses jaringan.

Jika Anda ingin membuat jaringan tertentu, Anda dapat menggunakan –net=antarmukadi mana antarmuka biasanya berupa sesuatu seperti eth0 pada jaringan berkabel. Anda bahkan dapat menambahkan –ip=192.168.1.80 sehingga sandbox memiliki alamat IP internal yang berbeda dari komputer, sangat berguna dalam konteks server atau pengujian jaringan.

Dengan opsi –dns=IP Anda dapat menimpa server DNS untuk sandbox tertentu tersebut. Misalnya, kombinasi yang sangat umum untuk perbankan online adalah sesuatu seperti `firejail --private --dns=8.8.8.8 --dns=8.8.4.4 google-chrome`, yang memastikan bahwa kueri tersebut diselesaikan menggunakan server DNS yang Anda tentukan.

Firejail juga memungkinkan Anda batasi bandwidth per sandboxPertama, Anda membuat instance bernama, misalnya firejail --name=browser --net=eth0 firefox, dan kemudian, dari instance lain terminalAnda menerapkan aturan dengan `firejail --bandwidth=browser set eth0 80 20` untuk mengatur batas unduhan menjadi 80 KB/s dan unggahan menjadi 20 KB/s. Untuk menghapus batasan tersebut, Anda dapat menggunakan `firejail --bandwidth=browser clear eth0`.

Perlu diingat bahwa opsi jaringan tertentu (seperti macvlan) hanya berfungsi pada antarmuka berkabelTidak terhubung ke Wi-Fi. laptop Dengan jaringan nirkabel, Anda perlu menyesuaikan desain sandbox Anda sesuai dengan kebutuhan.

Server grafis alternatif dan perlindungan terhadap keylogger

Selain isolasi jaringan dan sistem file, Firejail juga menyertakan mekanisme untuk memperkuat keamanan. lapisan grafis X11Alih-alih menggunakan sesi X "normal" pengguna, Anda dapat menjalankan program di dalam server grafis alternatif seperti Xpra atau Xephyr.

Untuk melakukan ini, Anda harus terlebih dahulu menginstal paket-paket yang sesuai, biasanya dengan perintah seperti sudo apt-get install xpra xserver-xephyr pada sistem berbasis Debian/Ubuntu. Setelah terpasang, Firejail memungkinkan peluncuran aplikasi menggunakan –x11=nama_server, yang menciptakan lingkungan grafis terisolasi tambahan.

Sebagai contoh, Anda bisa menjalankan firejail –x11=xephyr –net=none vlc untuk membuka VLC di server Xephyr dengan jaringan terputus, atau firejail –x11=xpra –net=none vlc untuk melakukannya di bawah Xpra. Ini membantu untuk Lindungi diri Anda dari keylogger dan perangkat perekam layar. yang mungkin beroperasi di sesi X utama.

Jika Anda tidak secara eksplisit menentukan server grafis, opsi tersebut akan muncul. –x11 Cobalah Xpra terlebih dahulu, kemudian Xephyr, dan terakhir ekstensi keamanan X11 jika opsi sebelumnya tidak tersedia. Tergantung pada distribusi dan lingkungan desktop Anda, beberapa kombinasi mungkin tidak berfungsi dengan sempurna, dan Anda mungkin perlu menyesuaikan pengaturan secara manual.

Gunakan Firejail “secara default” di aplikasi Anda.

Jika Anda mau, Anda dapat menjalankan aplikasi tertentu, atau bahkan semua aplikasi yang memiliki profil. siempre Di bawah Firejail, tanpa harus mengetik kata "firejail" setiap saat. Untuk itu, ada alat bantu. firecfg.

Saat berlari sudo firecfgProgram ini memindai biner yang terinstal dan membuat tautan simbolik di /usr/local/bin untuk semua aplikasi yang memiliki profil di /etc/firejail. Tautan ini mengarah ke /usr/bin/firejail, sehingga ketika pengguna menjalankan "firefox", Firejail benar-benar dipanggil dengan profil yang sesuai.

Jika Anda berubah pikiran dan ingin memulai ulang program tanpa sandboxing, Anda dapat menghapus konfigurasi tersebut dengan firecfg –bersihatau menghapus symlink secara manual dari /usr/local/bin. Alternatif lain adalah mengkonfigurasi hanya aplikasi tertentu dengan cara ini, membuat tautan simbolik secara manual dengan sudo ln -s /usr/bin/firejail /usr/local/bin/program_name.

Di lingkungan grafis, Anda juga dapat mengedit file desktop Di peluncur desktop Anda, tambahkan `firejail` ke baris perintah. Misalnya, dalam file `firefox.desktop` kustom, atur baris `Exec` menjadi `Exec=firejail firefox`. Dengan cara ini, setiap klik pada ikon akan meluncurkan program yang sudah dienkapsulasi.

Jika Anda menginstal Firetools, Anda juga akan mendapatkan pengelola sandbox grafis kecil yang menampilkan aplikasi dengan profil yang tersedia. Dari sana, Anda dapat meluncurkannya, melihat apa yang sedang berjalan, memeriksa konsumsi sumber daya, atau mengubah beberapa parameter tanpa menggunakan terminal.

Manajemen tingkat lanjut: memasuki lingkungan sandbox, melakukan debugging, dan menggunakan AppArmor/SELinux.

Ini bisa sangat berguna untuk tugas-tugas administratif tingkat lanjut. masuk “ke dalam” kotak pasirFirejail memungkinkan hal ini dengan opsi –join, yang menghubungkan shell baru ke namespace dari proses yang sudah ada.

Prosedur tipikalnya adalah menjalankan penjara api – daftar Untuk melihat PID dari instance, temukan nomor proses utama sandbox (misalnya, 5394) lalu lakukan sudo firejail –join=5394Firejail akan melompat ke proses anak pertama di dalam sandbox dan meninggalkan Anda dalam shell sebagai root di dalam lingkungan terisolasi tersebut.

Setelah sampai di sana, Anda dapat menggunakan perintah seperti df -h, ip addr, ps aux atau alat diagnostik apa pun untuk melihat persis apa yang dilihat aplikasi dari dalam sandbox. Setelah selesai, cukup jalankan `exit` untuk keluar dan kembali ke lingkungan normal.

Untuk mendeteksi masalah konfigurasi atau memahami apa yang menghambat aplikasi, Anda memiliki opsi berikut. –debug y -jejakIni menampilkan informasi debugging dan panggilan sistem saat perintah sedang berjalan. Ini sangat berguna ketika profil yang terlalu agresif mencegah program untuk berfungsi. boot atau berfungsi normal.

Firejail melengkapi dengan baik AppArmor dan SELinuxPada distribusi yang mengaktifkan AppArmor secara default, banyak profil Firejail dirancang untuk dapat berdampingan dengan profil AppArmor, menambahkan lapisan isolasi ekstra tanpa melanggar kebijakan yang ada. Contoh aturan khusus untuk memperkuat layanan seperti server web, SSH, atau aplikasi desktop penting tersedia di GitHub dan dalam dokumentasi resmi.

Jika Anda akan menggunakan Firejail pada server multi-pengguna, disarankan untuk meninjau konfigurasi di /etc/firejail/firejail.configAktifkan opsi seperti force-nonewprivs dan batasi pengguna mana yang dapat menjalankan /usr/bin/firejail dengan menyesuaikan grup dan izin mereka (misalnya, dengan membuat grup "firejail" dan membatasi SUID hanya untuk anggotanya).

Firejail menawarkan Keseimbangan yang sangat menarik antara keamanan dan kenyamanan.Meskipun tidak sepenuhnya menggantikan virtualisasi penuh, untuk banyak tugas sehari-hari, pengujian perangkat lunak cepat, atau mengisolasi browser, AppImages, Wine, dan game, fitur ini memberikan perlindungan luar biasa dengan kompleksitas yang sangat rendah. Pemahaman menyeluruh tentang profilnya, opsi jaringan, mode privat, dan integrasinya dengan AppArmor/SELinux memungkinkan Anda untuk menyesuaikannya sesuai keinginan dan benar-benar memperkuat keamanan desktop Linux Anda tanpa mengorbankan kemudahan penggunaan.