Cách cải thiện tính bảo mật của hệ thống Linux của bạn với Firejail

firejail-firefox-sandboxed

Linux luôn được coi là một hệ điều hành an toàn hơn các đối tác của nó. Tuy nhiên, điều đó không có nghĩa là nó hoàn toàn miễn nhiễm với vi rút, sâu và những thứ xấu xa khác. Giống như bất kỳ hệ điều hành nào khác, nó có một số hạn chế riêng và phần lớn phụ thuộc vào cách người dùng sử dụng nó.

Tất nhiên, không có gì có thể đảm bảo sự bảo vệ tuyệt đối, nhưng có những cách khiến virus, sâu và tin tặc nói chung sống rất vất vả. Nếu bạn đang tìm kiếm một giải pháp như vậy, không cần tìm đâu xa, vì trong hướng dẫn này chúng ta cũng sẽ thảo luận về một phần mềm, được gọi là Firejail, điều đó có thể cải thiện tính bảo mật của hệ thống Linux của bạn.

Cải thiện bảo mật hệ thống của bạn

Để tăng cường bảo mật cho các hộp Linux của bạn, bạn cần cài đặt và sử dụng Firejail. Về cơ bản nó là một SUID chương trình hạn chế môi trường chạy của các ứng dụng không đáng tin cậy, giảm nguy cơ vi phạm bảo mật. Đằng sau hậu trường, những gì Firejail làm là nó cho phép một tiến trình cũng như các con của nó có chế độ xem riêng tư của họ về các tài nguyên hạt nhân được chia sẻ toàn cầu, bao gồm ngăn xếp mạng, bảng quy trình và bảng gắn kết.

Ứng dụng được viết bằng ngôn ngữ C và không có bất kỳ phụ thuộc nào. Tất nhiên, nó có một số yêu cầu. Ví dụ, nó chỉ tương thích với các máy Linux chạy phiên bản hạt nhân 3.x hoặc mới hơn. Đối với loại quy trình mà công cụ có thể sandbox, câu trả lời là any. Có, bạn có thể sử dụng nó với các máy chủ và ứng dụng đồ họa, cũng như các trò chơi và phiên đăng nhập của người dùng.

Cài đặt

Có thể tải xuống tiện ích từ trang SourceForge của các dự án hoặc từ phần Tải xuống trên trang web chính thức của công cụ.

Trang tải xuống đi kèm với các gói .tar, .deb và .rpm và cũng dành cho cả kiến ​​trúc 32 và 64-bit. Vì tôi đang sử dụng Ubuntu, tôi đã tải xuống gói .deb và cài đặt nó bằng cách sử dụng GDebi trình cài đặt gói.

Sử dụng

Bây giờ, để sandbox một quy trình, tất cả những gì bạn phải làm là chuyển tên ứng dụng tương ứng làm đối số cho firejail. Ví dụ: để hộp cát trình duyệt web Firefox bằng Firejail, hãy chạy lệnh sau:

Mặc dù nhật ký đầu ra trên dòng lệnh phải đủ để cung cấp cho bạn ý tưởng rằng Firefox hiện đang chạy ở dạng hộp cát, để xem cách Firejail hạn chế quyền truy cập của trình duyệt web, hãy thử mở một tệp (Tệp -> Mở) từ cửa sổ Firefox . Bạn sẽ thấy rằng danh sách các vị trí có sẵn cho ứng dụng đã bị cắt bớt.

Để so sánh, đây là danh sách khi Firefox được chạy mà không có Firejail.

firejail-firefox-no-sandbox

Điều đáng nói là Firejail gắn kết tạm thời tmpfs hệ thống tập tin trên đầu trang của /home/user. Mọi tệp được tạo trong thư mục này sẽ bị xóa khi hộp cát thoát ra.

Công cụ này bao gồm các cấu hình bảo mật cho một số lượng lớn các chương trình Linux. Để cung cấp cho bạn ý tưởng tốt hơn về cấu hình bảo mật chính xác là gì, hãy nghĩ về chúng dưới dạng tệp cấu hình chứa các quy tắc xác định, ví dụ: quyền truy cập tệp nào được phép và tệp nào không. Để biết thêm thông tin về hộp cát Firejail cũng như cách tạo và tùy chỉnh hồ sơ bảo mật, hãy truy cập công cụ tài liệu.

Những người không quan tâm nhiều đến dòng lệnh sẽ vui mừng khi biết rằng có một GUI cho hộp cát bảo mật Firejail và nó được gọi là Súng bắn đạn. Được xây dựng bằng cách sử dụng các thư viện Qt4 / Qt5, công cụ này đi kèm dưới dạng một gói riêng biệt. Nó cung cấp một trình khởi chạy hộp cát tích hợp với khay hệ thống, chỉnh sửa, quản lý và thống kê hộp cát.

firejail-firetools

Để cài đặt Firetools, hãy truy cập trang này, tải xuống gói tương thích với hệ thống của bạn và cài đặt tương ứng. Khi bạn đã hoàn tất phần cài đặt, hãy chạy tiện ích bằng lệnh sau:

Sự kết luận

Không quan trọng bạn đang sử dụng hệ điều hành nào – ngay từ đầu bạn đừng bao giờ để khía cạnh bảo mật tuột khỏi tâm trí của mình. Và nếu hệ thống của bạn chứa thông tin nhạy cảm ở dạng, chẳng hạn như tài liệu, tệp hoặc hình ảnh, bảo mật hệ thống phải được đặt lên hàng đầu trong danh sách ưu tiên của bạn. Đối với Linux, giải pháp mà chúng tôi đã thảo luận trong bài viết này rất dễ thiết lập và sử dụng. Thêm vào đó, rất nhiều tài liệu có sẵn trên đó trong trường hợp bạn cần trợ giúp. Thử cho nó một lần.

Bài viết này có hữu ích không?