Отключить песочницу в линуксе

Обновлено: 04.07.2024

Песочница это термин, который описывает изоляцию программ друг от друга (или от конкретных системных ресурсов) путем ограничения их объема, или доступа к частям операционной системы. Есть много форм песочниц, от виртуальных машин до контейнеров Docker. Другие механизмы, которые мы можем использовать , чтобы изолировать процессы от ресурсов включают SELinux, AppArmor и контрольных групп. Эти инструменты легкие и мощные, но их довольно сложно установить, особенно для неопытных пользователей. SELinux, в частности, использует зашифрованный синтаксис который, люди довольно трудно осваивают.

К счастью, для тех из нас, кто хочет легкий, мощный, безопасный, и который прост в использовании то это Firejail. Проект Firejail описывает свое программное обеспечение следующим образом :
Firejail это программа, которая снижает риск нарушения безопасности, ограничивая среду ненадежных приложений с использованием пространств имен Linux. Firejail может работать в среде SELinux или AppArmor, и она интегрирована с контрольными группами Linux.
Firejail позволяет быстро и легко предотвратить процесс доступа к определенным файлам или каталогам, отключить способность процесса получать доступ к корневой учетной записи, блока или ограничить доступ сети и установить временные файловые системы для приложения.

Программное обеспечение Firejail доступно в репозиториях Debian , Ubuntu и их производных. Проект Firejail также поддерживает пакеты и инструкции по установке для различных дистрибутивов Linux, включая Fedora , CentOS , OpenSUSE , Gentoo и Arch Linux . Помимо программного обеспечения командной строки Firejail, проект также поддерживает настольное приложение, которое может быть использовано для песочницы некоторых популярных приложений с базовым уровнем безопасности.

Чтобы установить Firejail в Ubuntu 16.04/Linux Mint 18 и других, просто набираем в терминале

Как правило, когда мы хотим запустить приложение внутри песочницы Firejail, мы можем просто запустить firejail команду и передать ему название программы, которую мы хотим запустить. Например, мы можем запустить Firefox с помощью

Еще одна особенность Firejail, была возможность отключить доступ к корневой учетной записи. Firejail может блокировать доступ к учетной записи корневого пользователя, предотвращая многие типы локальных эксплойтов. Доступ к сетевых функций , которые требуют корневого доступа (например , в Ping)недоступны.

Firejail не может быть лучшим техническим решением, но будет использоваться широкой аудиторией потому что Firejail обеспечивает хорошую безопасность практически без усилий со стороны пользователя. Firejail также облегчает настройки профилей для новых приложений, поэтому список программ Firejail расширяется довольно быстро.

Короче говоря, Firejail обеспечивает полезный слой защиты, легко настроить и не требует практически никаких знаний в использовании. Это означает, что Firejail можно использовать с очень небольшим усилием и не пониманием базовых технологий. Firejail изолирует процессы, повышает нашу безопасность, использует очень мало ресурсов и почти не требует усилий для использования. В современном мире нарушений безопасности и неприкосновенности частной жизни, мое мнение: почему бы не использовать Firejail?

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Даже в операционной системе Linux мы можем доверять не всем программам. Иногда нужно понаблюдать за тем, как они будут вести себя в системе. Также в некоторых случаях нужно больше безопасности, например, когда вы хотите открыть подозрительный сайт, зайти на сайт, где не нужно разглашать ваши конфиденциальные данные или воспользоваться своим банковским счетом в интернете.

В каждом из перечисленных случаев будет полезной песочница linux. Конечно, идеальное решение для изоляции программ в Linux - это виртуальные машины или контейнеры, но не всегда есть время и знания их настраивать, а простая песочница предоставляет легкое и быстрое решение. Идея заключается в том, чтобы ограничить приложению доступ к вашей системе, личным данным, файлам и другой информации. Программа будет работать только в изолированном окружении. В операционной системе Windows есть утилита Sandboxie, которая реализует такую функциональность. Но в Linux есть альтернатива Sandboxie - FireJail.

Принцип работы FireJail в использовании отдельных пространств имен для процессов, фильтрации системных вызовов ядра и использование отдельных ресурсов ядра, таких как таблицы и сетевой стек. В этой статье мы рассмотрим как выполняется установка и настройка песочницы firejail в Linux. А также поговорим о том, как использовать программу.

Установка FireJail

Утилита есть в официальных репозиториях большинства дистрибутивов, поэтому для установки вам будет достаточно выполнить несколько команд. Нам надо установить два пакета firejail - непосредственно песочница с интерфейсом командной строки и firetools - графический интерфейс для неё. Если вы используете Debian или Ubuntu просто выполните:

sudo apt install firejail firetools


После завершения установки утилита будет готова к работе. В дистрибутивах Fedora, CentOS или других из семейства Red Hat команда установки будет выглядеть вот так:

sudo yum install firejail firetools

После этого утилита firetools для управления песочницей Linux будет доступна в главном меню системы.

Использование песочницы Linux

Чтобы запустить любую программу в песочнице достаточно просто передать имя исполняемого файла утилите firejail. Например, для запуска Firefox выполните:

Но перед тем как запускать программу таким способом нужно закрыть все открытые сейчас вкладки, иначе программа не запустится, а только откроется новая вкладка. Для веб-браузера Chromium команда похожая:

Запущенная программа может получить доступ только к некоторым необходимым директориям с настройкам и папке загрузок. Доступа к файловой системе или других папках вашего домашнего каталога нет. Вы можете попытаться открыть домашнюю папку в браузере:



Настройка прав доступа

Иногда нужно дать приложениям минимум возможностей в системе, например, полностью запретить доступ к домашней папке. Для этого можно использовать опцию --private:

firejail chromium-browser --private

Эта команда полностью ограничит приложение, программа запустится с чистым профилем и не сможет писать файлы в домашнюю папку из-за приватного режима sandbox linux.

Использование графического интерфейса

Если вам больше нравиться использовать графический интерфейс вместо командной строки, вы можете использовать графический фортэнд для FireJail - Firetools. Вы можете запустить утилиту через главное меню или терминал:


Дальше достаточно выполнить двойной клик по любому уже настроенному приложению в окне песочницы и оно будет запущено. По умолчанию доступны Firefox и VLC. Если вы хотите добавить программу вызовите контекстное меню и нажмите Edit:


В открывшемся окне нужно указать имя, описание и команду запуска программы. Команда может быть такой же какую вы выполняете из консоли. Например, для Firefox в ограниченном режиме:


Затем просто кликните по только что добавленной иконке. После этого программа откроется в sandbox Linux.

Выводы

В этой небольшой статье мы рассмотрели как настраивается песочница программ linux FireJail, а также как ее использовать для изоляции программ. Несмотря на ее простоту, я рекомендовал бы вам использовать более сложные и надежные решения если безопасность критически важна, например, контейнеры linux или виртуальные машины. А вы используете песочницу в своей системе? Или все-таки контейнеры? Что по-вашему лучше? Напишите в комментариях!

Небольшое видео с демонстрацией работы утилиты на английском:

Бывают случаи, что необходимо запустить подозрительное программное обеспечение, либо, перейти на не известный сайт, который не вызывает доверия. При этом, в целях вашей безопасности и было разработано решения под названием FireJail. Данное программное обеспечение в Linux системах изолирует подозрительное приложение в песочнице, тем самым, предотвращая прямой доступ к вашей системе и ее конфигурационным файлам. Стоит отметить, что данная утилита так же имеет и графический интерфейс, что собственно упростит работу с ней для многих пользователей. Принцип работы FireJail достаточно прост, опишу простым языком. Это создание изолированного пространства для процессов, фильтрация системных вызовов, сетевой стек, и так далее, более подробное описание вы можете найти на GitHub.

Установка песочницы FireJail в Linux

И так, как вы могли понять, данное программное обеспечение может повысить вашу безопасность, теперь давайте перейдем к установке. Стоит отметить, что FireJail имеется в репозиториях большинства дистрибутивов Linux, и начнем мы установку с Debian / Ubuntu. Устанавливать будем при помощи терминала, так как это универсальный способ и более быстрый:

Debian/Ubuntu

Fedora

Manjaro

FireJail песочница для изолирования подозрительных приложений в Linux 1

Конечно, можно пойти и другим путем и собрать песочницу FireJail из исходников которые имеются на GitHub, но, это не для всех, да и всегда может возникнуть проблема с зависимостями.

Как пользоваться FireJail

FireJail песочница для изолирования подозрительных приложений в Linux 2

FireJail песочница для изолирования подозрительных приложений в Linux 3

FireJail песочница для изолирования подозрительных приложений в Linux 5

FireJail песочница для изолирования подозрительных приложений в Linux 6

Заключение

А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X

Откройте терминал. Отредактируйте / usr / bin / google-chrome и добавьте «–no-sandbox» в конец последней строки (строка №: 42). Это все. Теперь вы можете запустить Google Chrome из меню как root.

Как запустить Chrome без песочницы?

Введите «–no-sandbox» (без кавычек) после пути к приложению в поле ввода «Цель». Не забудьте поставить один пробел между EXE-частью пути и первым дефисом в «–no-sandbox». Нажмите «ОК». Этот переключатель отключает песочницу при запуске Google Chrome с помощью нового ярлыка.

Что означает отсутствие песочницы в Chrome?

Функция песочницы Google Chrome: переключатель «–нет песочницы».

У нас есть веб-разработчики, которым нужен Google Chrome для тестирования. По какой-то причине он вылетает при запуске, если мы не отключим функцию песочницы, набрав «–no-sandbox» в целевом ярлыке. … Песочница - это «скрытая» технология просмотра.

Можете ли вы запустить Chrome в Linux?

Нет 32-битного Chrome для Linux

Google отказался от Chrome для 32-битной Ubuntu в 2016 году. Это означает, что вы не можете установить Google Chrome в 32-битных системах Ubuntu, поскольку Google Chrome для Linux доступен только для 64-битных систем. … Это версия Chrome с открытым исходным кодом, доступная в приложении Ubuntu Software (или аналогичном).

Как удалить песочницу?

Удалить песочницу из программы установки

  1. Войдите в свою организацию.
  2. Щелкните "Настройка".
  3. Введите песочницы в поле «Быстрый поиск» и нажмите «Песочницы».
  4. Нажмите «Удалить» рядом с песочницей, которую хотите удалить.
  5. Выберите Я понимаю операцию, которую собираюсь выполнить.
  6. Нажмите Удалить.

Chrome работает в песочнице?

Песочница - это жестко контролируемая среда, в которой можно запускать программы. … Например, Google Chrome и Internet Explorer сами работают в изолированной программной среде. Эти браузеры - это программы, запущенные на вашем компьютере, но у них нет доступа ко всему вашему компьютеру.

Что означает запрещенная песочница?

Без песочницы приложение может иметь неограниченный доступ ко всем системным ресурсам и пользовательским данным на компьютере. … Приложению предоставляется неограниченный доступ для чтения и записи к изолированному каталогу, но ему не разрешено читать или записывать какие-либо другие файлы на запоминающем устройстве компьютера, если это не разрешено системой.

Что такое режим песочницы в Chrome?

Новый подход к безопасности браузера: песочница Google Chrome. … Если злоумышленник может использовать браузер таким образом, чтобы он мог запускать произвольный код на машине, песочница поможет предотвратить повреждение системы этим кодом.

Что такое песочница в Kali?

Cuckoo Sandbox - это система анализа вредоносных программ. Вы можете бросить в него любой подозрительный файл, и в считанные секунды Cuckoo вернет вам некоторые подробные результаты, описывающие, что такой файл делал при запуске в изолированной среде.

Что такое песочница?

Это изолирует приложения друг от друга и защищает приложения и систему от вредоносных приложений. Для этого Android назначает уникальный идентификатор пользователя (UID) каждому приложению Android и запускает его в собственном процессе. … Песочница проста, поддается аудиту и основана на многолетнем опыте разделения пользователей в стиле UNIX на процессы и права доступа к файлам.

Читайте также: