Hoe Firejail op Linux te gebruiken om applicaties te isoleren en te beschermen

Als u dagelijks GNU/Linux gebruikt en zich zorgen maakt over... beveiliging, privacy en onbetrouwbare programma'sVroeg of laat kom je Firejail tegen. Dit kleine hulpprogramma is al jaren een van de eenvoudigste manieren om applicaties in een geïsoleerde omgeving te plaatsen, zonder een virtuele machine te hoeven installeren of eindeloos te hoeven configureren.

Het idee is simpel: Je voert je programma uit dat "ingevoegd" is in Firejail. En van daaruit ziet dat proces een bestandssysteem, een netwerk, gebruikers en apparaten die veel beperkter zijn dan de werkelijke. Op die manier, een PDF Een browser vol extensies of een vreemd spelletje van itch.io heeft veel minder kans om het systeem te ontregelen.

Wat is Firejail en hoe werkt het binnenin?

Firejail is een C-programma, van het type SUID en met GPLv2-licentieHet fungeert als een sandbox voor processen in GNU/Linux. De taak ervan is om de impact van een gecompromitteerde applicatie te minimaliseren door een uitvoeringsomgeving met beperkte privileges te creëren, waarin elk proces zijn eigen "afgescheiden weergave" van het systeem heeft.

Technisch gezien is het gebaseerd op verschillende Beveiligingsfuncties van de Linux-kernelNamespaces, systeemoproepfilters met seccomp-bpf, capaciteitsbeheer en bestandsysteemisolatie. Dankzij dit heeft het proces dat binnen de sandbox draait een eigen procestabel, netwerkstack, mounttabel en, in het algemeen, een verzameling gevirtualiseerde resources.

Een van de grote voordelen is dat Het heeft vrijwel geen afhankelijkheden en de overhead is minimaal.Het start geen achtergrondprocessen, opent geen sockets voor beheer en vereist geen extra services. Het start simpelweg wanneer het wordt aangeroepen en verbruikt resources terwijl de sandbox actief blijft.

Daarnaast wordt Firejail geleverd met vooraf gedefinieerde beveiligingsprofielen voor honderden programma's Desktop en services: browsers zoals Firefox en Chromium, mediaspelers zoals VLC, BitTorrent-clients zoals Transmission, e-mailclients, games (waaronder Stoom), chattools, servers zoals Apache of Nginx, clients SSH, Wijnenz. Als er geen specifiek profiel voor een programma is, wordt een generiek profiel toegepast.

Belangrijkste beveiligingsmechanismen die door Firejail worden gebruikt

Om echt te begrijpen wat Firejail doet, is het nuttig om de volgende informatie te bekijken: kernelmechanismen waarvan het gebruikmaaktJe hoeft geen kernelhacker te zijn, maar je hebt wel wat context nodig om te begrijpen wat je precies beveiligt als je met de opties speelt.

Linux-naamruimten Ze stellen een groep processen in staat om hun eigen "namespace" te delen: proces-ID's (PID's), hostnamen, gebruikers, mountpoints, netwerk, enzovoort. Firejail creëert deze namespaces zodat het afgeschermde programma alleen de resources ziet die ermee overeenkomen binnen die ingekapselde omgeving.

Vanaf kernelversie 2.6, en met name vanaf versie 3.x, zijn verschillende soorten namespaces toegevoegd (PID, UTS, mount, gebruiker, netwerk, IPC, enz.). Firejail is hierop aangewezen om... Het proces heeft zijn eigen netwerk, zijn eigen processtructuur en zijn eigen bestandssysteem., allemaal los van de rest van het systeem.

Naast namespaces implementeert Firejail ook het volgende: Toegangsbeheerbeleid op bestandsysteemniveau Op basis van whitelists en blacklists. Hiermee kunt u mappen definiëren waartoe de applicatie toegang heeft, mappen die de applicatie alleen mag lezen en mappen die volledig geblokkeerd zijn, zowel in de hoofdmap als in de thuismap van de gebruiker.

Parallel daaraan speelt het volgende een rol. seccomp-bpfAan het proces en de daarvan afgeleide processen is een systeemoproepfilter gekoppeld. Met behulp van een filtertaal gebaseerd op Berkeley Packet Filter (BPF) beperkt Firejail welke systeemoproepen de applicatie mag uitvoeren. Als de applicatie iets probeert te doen dat niet is toegestaan ​​volgens het beleid, wordt de oproep geblokkeerd of het proces beëindigd, waardoor het aanvalsoppervlak aanzienlijk wordt verkleind.

Firejail integreert ook goed met AppArmor en SELinuxDeze oplossingen MAC-adres (Verplichte toegangscontrole) definieert welke resources een applicatie mag gebruiken, terwijl Firejail een extra isolatielaag toevoegt: zelfs als twee applicaties volgens AppArmor toegang hebben tot dezelfde resource, kun je met Firejail voorkomen dat ze met elkaar communiceren, omdat elke applicatie zich in een eigen sandbox bevindt.

Praktische voordelen van het gebruik van Firejail

Voor de gemiddelde gebruiker is niet zozeer de theorie van belang, maar wel wat je in de praktijk bereikt: Meer beveiliging zonder uw manier van werken te veranderen. radicaal. Firejail richt zich precies daarop.

Aan de ene kant is er isolatie van potentieel gevaarlijke toepassingenEen PDF-bestand dat niet goed aanvoelt, een kantoordocument dat je per e-mail hebt ontvangen, een dubieuze website of een AppImage die je ergens vandaan hebt gedownload: al deze bestanden draaien in een omgeving die hun toegang tot het systeem beperkt.

Aan de andere kant biedt het zeer gedetailleerde resourcebeperkingJe kunt het netwerk beperken (de internetverbinding volledig afsluiten, een eigen IP-adres toewijzen, de bandbreedte beperken), de toegang tot het bestandssysteem beperken (whitelist en blacklist), apparaten verwijderen uit /dev, de geluidsserver beheren of zelfs de DNS-servers wijzigen waarmee de applicatie communiceert.

Een zeer interessant punt is dat het basisgebruik is belachelijk eenvoudig: firejail programmanaamJe hoeft geen configuratiebestanden te bewerken om aan de slag te gaan; de vooraf gedefinieerde profielen dekken de meest voorkomende toepassingen. Pas als je complexere configuraties wilt gebruiken, kun je aangepaste profielen aanpassen.

Ondanks de focus op GNU/Linux is Firejail ook geporteerd of aangepast voor andere type systemen Unix zoals sommige BSD-varianten of zelfs macOS, hoewel het pas echt tot zijn recht komt in Linux-omgevingen met een 3.xo-kernel of hoger.

Firejail en Firetools installeren op verschillende distributies

Het installeren van Firejail is net zo eenvoudig als het uitpakken van de bestanden. pakketbeheerder van uw distributieHet wordt meestal niet standaard meegeleverd, maar het is wel te vinden in de officiële softwarepakketten van vrijwel alle moderne Linux-distributies.

Op Debian- en Ubuntu-gebaseerde systemen kunt u eenvoudig APT gebruiken: sudo apt install firejailIn afgeleide distributies zoals Linux Mint, Elementary of vergelijkbare systemen is het commando exact hetzelfde en wordt het pakket gedownload vanuit de repositories van de distributie.

In "pure" Debian kun je gebruikmaken van sudo apt-get install firejailIn Arch Linux en afgeleide distributies zoals Manjaro bevindt het pakket zich in de officiële repositories en wordt het geïnstalleerd met sudo pacman -S firejailIn Gentoo bevindt het zich in de hoofdstructuur als sys-apps/firejail en wordt het geïnstalleerd met emerge –ask sys-apps/firejail of de LTS-variant daarvan.

In Fedora kun je ervoor kiezen om de te downloaden RPM van SourceForge en start het met `sudo rpm -i`, of schakel een specifieke Copr-repository in (bijvoorbeeld `ssabchew/firejail`) en installeer het vervolgens met `dnf`. Op openSUSE is het beschikbaar via het klassieke systeem van installatie met één klik uit de aanbevolen repositories voor Tumbleweed of Leap.

Als je distributie het niet als pakket aanbiedt, kun je het altijd zelf compileren vanuit de broncode: git clone https://github.com/netblue30/firejail.git; cd firejail; ./configure && make && sudo make install-stripHet is een lichtgewicht project met weinig afhankelijkheden, dus het compileert meestal zonder problemen.

Voor een grafische interface heb je Firetools, dat meestal met dezelfde pakketbeheerder wordt geïnstalleerd, bijvoorbeeld sudo apt install firetoolsDit pakket voegt een kleine launcher toe aan het systeemvak en hulpprogramma's voor het grafisch beheren van sandboxes.

Hoe Firejail vanuit de terminal te gebruiken

De meest directe manier om Firejail te gebruiken is via de lijn van commando'sHun filosofie is glashelder: Voeg het woord firejail toe aan het commando dat je wilt gebruiken.. Niets meer.

Om bijvoorbeeld Firefox in een afgeschermde omgeving uit te voeren, zou je het volgende gebruiken: firejail-firefoxvoor VLC Firejail VLC, voor transmissie Firejail transmissie-gtk of voor gedit vuurgevangenis geditFirejail detecteert het programma, controleert of er een overeenkomend profiel in /etc/firejail staat en past de gedefinieerde beperkingen toe.

Het kan ook gebruikt worden met diensten of demonen server, gestart als wortelEen typisch voorbeeld is het starten van Nginx met `sudo firejail /etc/init.d/nginx start`, of elke andere service die je in een sandbox wilt laten draaien met een eigen netwerk en een beperkt bestandssysteem.

Als je op een bepaald moment wilt weten welke sandboxes actief zijn, kun je het volgende uitvoeren: vuurgevangenis –lijstHet programma toont een lijst met de PID, de gebruiker en het commando dat bij elke geïsoleerde omgeving hoort, vergelijkbaar met een gefilterde `ps`.

Wanneer je de resources wilt inspecteren die door applicaties onder Firejail worden gebruikt, kun je het subcommando gebruiken. vuurgevangenis –boven, die een tabel weergeeft met PID, gebruiker, residentieel geheugen, gedeeld geheugen, CPU-gebruik, onderliggende processen en uitvoeringstijd, allemaal gericht op instanties die via de sandbox zijn gestart.

Om de volledige proceshiërarchie binnen elke sandbox te bekijken, kunt u het volgende uitvoeren: vuurgevangenis –boomDit toont een procesboom met de "ouder"-instantie firejail en alle processen die daaraan gekoppeld zijn. Als een instantie niet meer reageert, firejail –shutdown=PID Het stelt je in staat om die specifieke sandbox te vernietigen.

Firejail-profielen: waar ze zich bevinden en hoe je ze kunt wijzigen

Het ware potentieel van Firejail schuilt in zijn configuratieprofielenDit zijn textuurbestanden die beschrijven hoe elke applicatie geïsoleerd moet worden: welke mappen de applicatie kan zien, welke kernelmogelijkheden de applicatie kan gebruiken, wat er met het netwerk gebeurt, of alternatieve grafische servers zijn ingeschakeld, enzovoort.

Systeemprofielen worden meestal opgeslagen in /etc/firejail/Als je in die map het commando `ls` uitvoert, zie je een verzameling bestanden met de extensie .profile, die elk aan een specifiek programma zijn gekoppeld: firefox.profile, vlc.profile, chromium.profile, steam.profile, server.profile, enzovoort.

Om het gedrag van een standaardprofiel aan te passen, opent u het eenvoudigweg met uw favoriete editor, bijvoorbeeld met sudo nano /etc/firejail/firefox.profileDaar kunt u beleidsregels in- of uitschakelen, zoals blacklists, whitelists, /dev-beperkingen, netwerkopties, geluidsregeling of het uitschakelen van 3D-acceleratie.

Als je wilt weten welke syntaxis de profileringstaal ondersteunt, bevat Firejail een speciale man-pagina: man 5 firejail-profielHet document beschrijft de betekenis van elk commando (include, blacklist, whitelist, caps.keep, net, x11, enz.) en hoe je ze kunt combineren om het gewenste isolatiebeleid te bereiken.

Wanneer je een programma wilt aanpassen zonder het globale profiel in /etc te wijzigen, kun je een lokaal gebruikersprofielZe worden opgeslagen in ~/.config/firejail/ en hebben dezelfde naam als het officiële profiel. Als je bijvoorbeeld wilt dat VLC nooit internettoegang heeft, kun je een bestand ~/.config/firejail/vlc.profile aanmaken met een inhoud die lijkt op:

include /etc/firejail/vlc.profile
netto geen

De volgende keer dat je rent Firejail VLCHet systeemprofiel wordt eerst toegepast, en daarna uw aanvullende instellingen. Dit zorgt voor extra netwerkisolatie zonder dat u het bestand in /etc hoeft te wijzigen.

Witte lijsten, zwarte lijsten en bestandsysteembeheer

Een van de krachtigste toepassingen van Firejail is het vermogen om... beperk specifieke mappen Waartoe een applicatie toegang heeft. Dit bereik je met whitelist- en blacklistregels, zowel in algemene als in aangepaste profielen.

Als u bijvoorbeeld wilt voorkomen dat een applicatie toegang krijgt tot de map Documenten van de gebruiker, kunt u een regel toevoegen. blacklist ${HOME}/Documents naar het profiel. Als alternatief kunt u het volledige pad gebruiken, zoals blacklist /home/user/Documents, als u liever geen variabelen gebruikt.

Omgekeerd, als u wilt dat een programma alleen toegang heeft tot een zeer specifieke subset van de HOME-directory, kunt u werken met whitelistEen veelvoorkomende combinatie is om de toegang tot /boot, /root of bepaalde gevoelige mappen over het algemeen te blokkeren, en tegelijkertijd toegang te verlenen tot één enkele map. downloads of een tijdelijke map waarin je opslaat wat je echt nodig hebt.

Lijstregels worden gecombineerd met opties zoals –alleen-lezen=/enz. zodat een bepaalde map toegankelijk is, maar alleen in leesmodus, of met –privéwoning, –privé enz., –privébak om tijdelijke versies van die routes binnen de sandbox op te zetten.

In geavanceerde profielen kunt u zelfs bindende richtlijnen gebruiken, zoals oorsprong, bestemming verbindenDit is typisch voor serveromgevingen, waardoor een echte systeemdirectory (bijvoorbeeld /server/web1) binnen de sandbox wordt gezien als /var/www/html, en dat alles onder veel strengere toegangscontrole.

Privémodus en tijdelijke bestandssystemen

Als je maximale isolatie zoekt, biedt Firejail een bijzonder krachtige modus: -privaatNa activering ziet de applicatie een tijdelijke HOME-directory die is gekoppeld aan tmpfs, met een minimale directorystructuur, en alles wat erin wordt geschreven, verdwijnt zodra de sandbox wordt gesloten.

Deze modus is ideaal voor Controleer uw online bankieren of voer bijzonder gevoelige applicaties uit. Zonder de gebruikelijke instellingen, extensies, caches, geschiedenis, enz. over te nemen. Als je een browser start met firejail --private, gebruikt deze de standaardconfiguratie, zonder add-ons of aanpassingen, waardoor het aanvalsoppervlak kleiner wordt.

Je kunt dit gedrag ook verfijnen met –privé=directorywat duidt op een aanhoudend alternatief thuis, of het vermengen ervan met –privé-tmp y –privé-cache zodat mappen zoals /tmp of ~/.cache tijdelijk zijn, terwijl je andere "echte" profielelementen bewaart.

Een ander krachtig mechanisme is –overlay-tmpfsDit creëert een tijdelijk bestandssysteem bovenop het eigenlijke systeem, waardoor alle schrijfbewerkingen in de tijdelijke laag blijven. Dit maakt het bijvoorbeeld mogelijk om: Installeer een pakket in de sandbox en test het. zonder sporen achter te laten op het hostsysteem wanneer u de Firejail-sessie sluit.

In deze scenario's is het belangrijk om zeer voorzichtig te zijn met de combinatie van opties, want als je die combineert, kan dat problemen veroorzaken. – geen profiel En als je /tmp niet goed blokkeert, kunnen er nog steeds schrijfbewerkingen plaatsvinden naar delen van het systeem die je niet wilde aanraken. Een gangbare praktijk is om instructies zoals `--blacklist=/tmp` toe te voegen of met zeer specifieke whitelists te werken om het schrijfgebied te beperken.

Netwerkbeheer: internettoegang afsluiten, IP-adressen scheiden en bandbreedtebeperkingen instellen.

Een ander belangrijk aspect van Firejail is netwerkbeheer. Met één enkele parameter kunt u een applicatie toestaan ​​om... volledig offline of een eigen netwerkstack opzetten met individuele IP-adressen, firewalls en ARP-tabellen, los van het systeem.

Om de verbinding uit te schakelen, gebruikt u eenvoudigweg de volgende opdracht: –net=geenBijvoorbeeld in commando's zoals `firejail --net=none vlc`, `firejail --net=none clementine`, of elk ander programma dat je de toegang tot internet wilt ontzeggen. Het is ideaal voor mediaspelers, afbeeldingsviewers, tekstverwerkers of vergelijkbare programma's die geen netwerktoegang nodig hebben.

Als u een specifiek netwerk wilt opzetten, kunt u gebruikmaken van –net=interfacewaarbij interface meestal iets is als eth0 op bekabelde netwerken. Je kunt zelfs toevoegen –ip=192.168.1.80 zodat de sandbox een ander intern IP-adres heeft dan de computer, wat erg handig is in serveromgevingen of bij netwerktesten.

Met optie –dns=IP Je kunt de DNS-servers voor die specifieke sandbox overschrijven. Een veelvoorkomende combinatie voor internetbankieren is bijvoorbeeld iets als `firejail --private --dns=8.8.8.8 --dns=8.8.4.4 google-chrome`, waarmee je ervoor zorgt dat die query's worden opgelost met behulp van de DNS-servers die je opgeeft.

Firejail biedt je ook de mogelijkheid om... Beperk de bandbreedte per sandbox.Eerst maak je een benoemde instantie aan, bijvoorbeeld firejail --name=browser --net=eth0 firefox, en vervolgens, vanuit een andere instantie... terminalJe past regels toe met `firejail --bandwidth=browser set eth0 80 20` om de downloadsnelheid in te stellen op 80 KB/s en de uploadsnelheid op 20 KB/s. Om de limiet op te heffen, gebruik je `firejail --bandwidth=browser clear eth0`.

Houd er rekening mee dat bepaalde netwerkopties (zoals macvlan) alleen werken op bedrade interfacesNiet via wifi. portable Bij draadloze netwerken moet u uw sandbox-ontwerp hierop aanpassen.

Alternatieve grafische servers en bescherming tegen keyloggers

Naast netwerk- en bestandssysteemisolatie bevat Firejail mechanismen om de beveiliging te verbeteren. X11 grafische laagIn plaats van de "normale" X-sessie van de gebruiker te gebruiken, kunt u een programma starten binnen alternatieve grafische servers zoals Xpra of Xephyr.

Om dit te doen, moet je eerst de bijbehorende pakketten installeren, meestal met een commando zoals sudo apt-get install xpra xserver-xephyr op Debian/Ubuntu-gebaseerde systemen. Eenmaal geïnstalleerd, maakt Firejail het mogelijk om applicaties te starten met –x11=server_name, wat een extra, geïsoleerde grafische omgeving creëert.

Je zou bijvoorbeeld het volgende kunnen uitvoeren: firejail –x11=xephyr –net=none vlc om VLC te openen op een Xephyr-server terwijl de netwerkverbinding is verbroken, of firejail –x11=xpra –net=none vlc om het onder Xpra te doen. Dit helpt om Bescherm uzelf tegen keyloggers en schermopnameapparaten. die mogelijk actief is in de hoofdsessie van X.

Als u de grafische server niet expliciet opgeeft, wordt de optie –x11 Probeer eerst Xpra, dan Xephyr en tot slot de X11-beveiligingsuitbreiding als de voorgaande opties niet beschikbaar zijn. Afhankelijk van uw distributie en desktopomgeving werken sommige combinaties mogelijk niet perfect en moet u de instellingen mogelijk handmatig aanpassen.

Gebruik Firejail "standaard" in uw applicaties.

Indien gewenst kunt u bepaalde applicaties, of zelfs alle applicaties met een profiel, laten uitvoeren. altijd In Firejail hoef je niet telkens het woord "firejail" te typen. Daarvoor is een hulpprogramma beschikbaar. firecfg.

Tijdens het hardlopen sudo firecfgHet programma scant de geïnstalleerde binaire bestanden en maakt symbolische links aan in /usr/local/bin voor alle applicaties die een profiel hebben in /etc/firejail. Deze links verwijzen naar /usr/bin/firejail, zodat wanneer de gebruiker "firefox" uitvoert, Firejail daadwerkelijk wordt aangeroepen met het bijbehorende profiel.

Als u van gedachten verandert en de programma's zonder sandbox wilt herstarten, kunt u die configuratie wissen met firecfg –cleanOf verwijder handmatig de symbolische links uit /usr/local/bin. Een andere mogelijkheid is om slechts een specifieke applicatie op deze manier te configureren door handmatig een symbolische link aan te maken. sudo ln -s /usr/bin/firejail /usr/local/bin/program_name.

In grafische omgevingen kunt u ook de .desktop-bestanden Voeg in je bureaubladstarters `firejail` toe aan de opdrachtregel. Stel bijvoorbeeld in een aangepast `firefox.desktop`-bestand de `Exec`-regel in op `Exec=firejail firefox`. Op deze manier wordt het programma, dat al is ingekapseld, bij elke klik op het pictogram gestart.

Als je Firetools installeert, krijg je ook een kleine grafische sandbox-manager die applicaties met beschikbare profielen weergeeft. Vanuit daar kun je ze starten, zien wat er draait, het resourceverbruik controleren of parameters aanpassen zonder de terminal te gebruiken.

Geavanceerd beheer: een sandbox openen, debuggen en AppArmor/SELinux

Het kan erg nuttig zijn voor geavanceerde administratieve taken. betreed een zandbak.Firejail maakt dit mogelijk met de optie –join, waarmee een nieuwe shell wordt verbonden met de namespace van een bestaand proces.

De gebruikelijke procedure zou zijn om uit te voeren vuurgevangenis –lijst Om de PID's van de instanties te bekijken, zoek je het hoofdprocesnummer van de sandbox op (bijvoorbeeld 5394) en doe je vervolgens het volgende: sudo firejail –join=5394Firejail springt naar het eerste onderliggende proces binnen de sandbox en laat je achter in een shell als root binnen die geïsoleerde omgeving.

Eenmaal daar aangekomen, kun je commando's gebruiken zoals df -h, ip addr, ps aux Of gebruik een diagnostisch hulpmiddel om precies te zien wat de applicatie vanuit de sandbox ziet. Als je klaar bent, typ je gewoon `exit` om af te sluiten en terug te keren naar de normale omgeving.

Om configuratieproblemen op te sporen of te achterhalen wat een toepassing blokkeert, hebt u de volgende opties. –debug y -spoorDeze tonen foutopsporingsinformatie en systeemoproepen terwijl de opdracht wordt uitgevoerd. Ze zijn vooral handig wanneer een te agressief profiel ervoor zorgt dat het programma niet werkt. Boot of normaal functioneren.

Firejail vormt een goede aanvulling op AppArmor en SELinuxIn distributies die AppArmor standaard inschakelen, zijn veel Firejail-profielen ontworpen om samen te werken met AppArmor-profielen. Dit voegt een extra isolatielaag toe zonder bestaande beleidsregels te schenden. Voorbeelden van specifieke regels voor het verder versterken van services zoals webservers, SSH of kritieke desktopapplicaties zijn beschikbaar op GitHub en in de officiële documentatie.

Als u Firejail op servers met meerdere gebruikers wilt gebruiken, is het raadzaam de configuratie te controleren. /etc/firejail/firejail.configSchakel opties in zoals force-nonewprivs en beperk welke gebruikers /usr/bin/firejail kunnen uitvoeren door hun groep en machtigingen aan te passen (bijvoorbeeld door een groep "firejail" aan te maken en SUID te beperken tot de leden ervan).

Firejail biedt een Een zeer interessante balans tussen veiligheid en comfort.Het vervangt geen volledige virtualisatie, maar voor veel dagelijkse taken, snelle softwaretests of het isoleren van browsers, AppImages, Wine en games, biedt het opmerkelijke bescherming met een zeer lage complexiteit. Een grondig begrip van de profielen, netwerkopties, privémodi en integraties met AppArmor/SELinux stelt u in staat om het naar uw wensen aan te passen en uw Linux-desktop echt te beveiligen zonder in te leveren op gebruiksgemak.