Firejail - Linux namespaces sandbox-program

Namn

Firejail - Linux-namespaces sandbox-program

Synopsis

Starta en sandbox:

firejail [ALTERNATIV] [program och argument]

Starta ett AppImage-program:

firejail [ALTERNATIV] --appimage [ALTERNATIV] [appimage-fil och argument]

Filöverföring från en befintlig sandbox:

firejail {--ls | --get | --put | --cat} katalog_eller_filnamn

Nätverkstrafikhantering för en befintlig sandbox:

firejail --bandwidth={namn|pid} bandbreddskommandon

Övervakning:

firejail {--list | --netstats | --top | --tree}

Diverse:

firejail {-? | --debug-caps | --debug-errnos | --debug-syscalls | --debug-syscalls32 | --debug-protocols | --help | --version}

Beskrivning

Firejail är ett SUID-sandboxprogram som minskar risken för säkerhetsintrång genom att begränsa körningsmiljön för osäkra applikationer med hjälp av Linux-namespaces, seccomp-bpf och Linux-kapabiliteter. Det möjliggör att en process och dess underordnade processer har sin egen privata vy över systemresurser som nätverksstack, processtabell och monteringspunktstabell. Firejail kan köras i en SELinux- eller AppArmor-miljö och är integrerat med Linux Control Groups.

Firejail är skrivet i C med praktiskt taget inga beroenden och kan köras på alla Linux-datorer med kärnversion 3.x eller nyare. Det kan sandboxa alla typer av processer: servrar, grafiska applikationer och även användarinloggningssessioner.

Firejail möjliggör att användaren hanterar applikationssäkerhet genom säkerhetsprofiler. Varje profil definierar en uppsättning behörigheter för en specifik applikation eller grupp av applikationer. Programmet inkluderar säkerhetsprofiler för ett antal vanliga Linux-program såsom Mozilla Firefox, Chromium, VLC, Transmission med flera.

Firejail implementeras för närvarande som en SUID-binär, vilket innebär att om en skadlig eller komprometterad användare lyckas utnyttja en bugg i Firejail kan det i värsta fall leda till en privilegieupptrappning till root-nivå. För att mildra denna risk rekommenderas det att endast tillåta betrodda användare att köra Firejail (se firejail-users(5) för detaljer om hur detta kan uppnås).

Alternativa sandbox-teknologier som Snap och Flatpak stöds inte. Snap- och Flatpak-paket har sina egna hanteringsverktyg och fungerar inte när de sandboxas med Firejail.

Användning

Om inga alternativ anges består sandlådan av ett filsystem byggt i ett nytt monteringsnamespace, samt nya PID- och UTS-namespaces. IPC-, nätverks- och användarnamespaces kan läggas till med kommandoradsalternativ. Standardfilsystemet för Firejail baseras på värdsystemets filsystem med de viktigaste systemkatalogerna monterade som skrivskyddade. Dessa kataloger inkluderar:

- /etc
- /var
- /usr
- /bin
- /sbin
- /lib
- /lib32
- /libx32
- /lib64

Endast /home och /tmp är skrivbara.

Vid körning söker Firejail först efter en profil i ~/.config/firejail/. Om den inte hittar någon där, letar den i /etc/firejail/. Om en passande profil inte hittas, används en standardprofil. Standardprofilen är ganska restriktiv. Om applikationen inte fungerar kan alternativet --noprofile användas för att inaktivera den.

Om inget program anges startar Firejail användarens förvalda shell.

Exempel:

firejail [ALTERNATIV] # Startar programmet angivet i $SHELL, vanligtvis /bin/bash
firejail [ALTERNATIV] firefox # Startar Mozilla Firefox
sudo firejail [ALTERNATIV] /etc/init.d/nginx start

Alternativ

• --allow-debuggers

Tillåter verktyg som strace och gdb i sandboxen genom att vitlista systemanropen ptrace och process_vm_readv. Detta alternativ är endast tillgängligt på Linux-kärnor 4.8 eller senare.

• --appimage

Sandboxa en AppImage-applikation. Om sandboxen startas som vanlig användare aktiveras nonewprivs och en standardkapabilitetsfilter.

• --bandwidth=name|pid

Ställ in bandbreddsbegränsningar för sandboxen identifierad med namn eller PID.

• --blacklist=filnamn

Svartlistar en katalog eller fil. Symboliska länkar hanteras så att om en svartlistad sökväg pekar på en annan sökväg svartlistas även den.

• --private

Monterar nya /root- och /home/user-kataloger i temporära filsystem. Alla ändringar förloras när sandboxen stängs.

• --net=none

Starta en sandbox med ett tomt nätverksnamespace. Endast loopbackgränssnittet (lo) är tillgängligt. Används för att neka nätverksåtkomst till program som inte behöver det.

• --seccomp

Aktiverar seccomp-filter och svartlistar vissa systemanrop.

Exempel

firejail
Sandboxa en vanlig shell-session.

firejail firefox
Starta Mozilla Firefox i en sandbox.

firejail --private firefox
Starta Firefox med en ny, tom hemkatalog.

firejail --net=none vlc
Starta VLC utan nätverksåtkomst.

firejail --list
Lista alla sandlådor.

Övervakning

Alternativet --list listar alla sandlådor med formatet:

PID:ANVÄNDARE:Sandlådenamn:Kommando

Alternativet --tree visar en trädstruktur över alla sandboxade processer:

PID:ANVÄNDARE:Sandlådenamn:Kommando

Alternativet --netstats visar nätverksstatistik för aktiva sandlådor som använder nya nätverksnamnrymder.

Licens

Detta program är fri programvara; du kan distribuera det och/eller modifiera det under villkoren i GNU General Public License version 2 eller senare.

Se även

• firemon(1)
• firecfg(1)
• firejail-profile(5)
• firejail-login(5)
• firejail-users(5)

Mer information finns på: https://firejail.wordpress.com

Sidslut

Orginalhemsidan på Engelska :https://man7.org/linux/man-pages/man1/firejail.1.html

---

Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp som har sponsrat Linux.se med webbhotell.