Recherche de site Web

Firejail - Exécutez en toute sécurité des applications non fiables sous Linux

Parfois, vous souhaiterez peut-être utiliser des applications qui n'ont pas été correctement testées dans différents environnements, mais vous devez pourtant les utiliser. Dans de tels cas, il est normal de s’inquiéter de la sécurité de votre système. Une chose qui peut être faite sous Linux est d'utiliser les applications dans un bac à sable.

Le « Sandboxing » est la possibilité d'exécuter une application dans un environnement limité. De cette façon, l’application dispose d’une quantité limitée de ressources nécessaires à son exécution. Grâce à l'application appelée Firejail, vous pouvez exécuter en toute sécurité des applications non fiables sous Linux.

Firejail est une application SUID (Set Owner User ID) qui diminue l'exposition aux failles de sécurité en limitant l'environnement d'exécution de programmes non fiables à l'aide d'espaces de noms Linux et de seccomp-bpf. .

Il permet à un processus et à tous ses descendants d'avoir leur propre vue secrète des ressources du noyau globalement partagées, telles que la pile réseau, la table des processus, la table de montage.

Certaines des fonctionnalités utilisées par Firejail :

  • Espaces de noms Linux
  • Conteneur du système de fichiers
  • Filtres de sécurité
  • Prise en charge du réseau
  • Allocation des ressources

Des informations détaillées sur les fonctionnalités de Firejail peuvent être trouvées sur la page officielle.

Comment installer Firejail sous Linux

L'installation peut être complétée en téléchargeant le dernier package depuis la page github du projet à l'aide de la commande git comme indiqué.

git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip

Si git n'est pas installé sur votre système, vous pouvez l'installer avec :

sudo apt install git  [On Debian/Ubuntu]
yum install git       [On CentOS/RHEL]
dnf install git       [On Fedora 22+]

Une autre manière d'installer firejail consiste à télécharger le package associé à votre distribution Linux et à l'installer avec son gestionnaire de packages. Les fichiers peuvent être téléchargés depuis la page SourceForge du projet. Une fois le fichier téléchargé, vous pouvez l'installer avec :

sudo dpkg -i firejail_X.Y_1_amd64.deb   [On Debian/Ubuntu]
sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [On CentOS/RHEL/Fedora]

Comment exécuter des applications avec Firejail sous Linux

Vous êtes maintenant prêt à exécuter vos applications avec Firejail. Ceci est accompli en lançant un terminal et en ajoutant Firejail avant la commande que vous souhaitez exécuter.

Voici un exemple:

firejail firefox    #start Firefox web browser
firejail vlc        # start VLC player

Créer un profil de sécurité

Firejail comprend de nombreux profils de sécurité pour différentes applications et ils sont stockés dans :

/etc/firejail

Si vous avez construit le projet à partir des sources, vous pouvez trouver les profils dans :

path-to-firejail/etc/

Si vous avez utilisé le package rpm/deb, vous pouvez trouver les profils de sécurité dans :

/etc/firejail/

Les utilisateurs doivent placer leurs profils dans le répertoire suivant :

~/.config/firejail

Si vous souhaitez étendre un profil de sécurité existant, vous pouvez utiliser include avec le chemin d'accès au profil et ajouter vos lignes ensuite. Cela devrait ressembler à ceci :

cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

Si vous souhaitez restreindre l'accès de l'application à certains répertoires, vous pouvez utiliser une règle de liste noire pour y parvenir. Par exemple, vous pouvez ajouter les éléments suivants à votre profil de sécurité :

blacklist ${HOME}/Documents

Une autre façon d'obtenir le même résultat consiste à décrire le chemin complet du dossier que vous souhaitez restreindre :

blacklist /home/user/Documents

Il existe de nombreuses manières différentes de configurer vos profils de sécurité, comme interdire l'accès, autoriser l'accès en lecture seule, etc. Si vous souhaitez créer des profils personnalisés, vous pouvez consulter les instructions Firejail suivantes.

Firejail est un outil formidable pour les utilisateurs soucieux de la sécurité qui souhaitent protéger leur système.