Linux est souvent perçu comme un système d’exploitation très sécurisé, et il est vrai qu’il rencontre moins de problèmes de confidentialité que ses concurrents. Cependant, même le système Linux le plus robuste peut être amélioré. C’est là qu’intervient Firejail. Cette application permet aux utilisateurs d’isoler n’importe quelle application en cours d’exécution dans un environnement contrôlé, un « bac à sable ». Firejail empêche l’application d’accéder à d’autres parties du système. Il s’agit de l’outil de sandboxing le plus populaire sur Linux, et c’est pourquoi de nombreuses distributions l’intègrent par défaut. Voici comment l’installer sur votre système.
AVERTISSEMENT : une vidéo tutoriel se trouve à la fin de cet article.
Installation de Firejail
Sur Ubuntu
sudo apt install firejail
Sur Debian
sudo apt-get install firejail
Sur Arch Linux
sudo pacman -S firejail
Si vous n’êtes pas satisfait de la version de Firejail disponible dans les dépôts officiels d’Arch, vous pouvez opter pour la version Git disponible sur l’AUR.
Sur Fedora
Malheureusement, il n’existe pas de package Firejail pour Fedora dans les dépôts principaux, et il est peu probable que cela change. Cependant, les utilisateurs de Fedora peuvent l’installer via Copr.
Copr est un service similaire aux PPA d’Ubuntu ou à l’AUR d’Arch Linux. Tout utilisateur peut créer un dépôt Copr et y héberger des logiciels. De nombreux dépôts Copr proposent Firejail. Si le dépôt que nous mentionnons dans cet article n’est plus mis à jour, n’hésitez pas à en trouver un autre sur le site de Copr.
Pour installer Firejail sur Fedora, exécutez les commandes suivantes :
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
Sur OpenSUSE
Comme la plupart des logiciels tiers pour SUSE, Firejail est disponible dans l’OBS. Vous pouvez facilement installer les dernières versions de Firejail pour Leap et Tumbleweed. Retrouvez-le ici.
Cliquez sur le bouton « 1-clic » pour installer via YaST.
Autres distributions
Le code source de Firejail est facilement accessible et facile à compiler si votre distribution Linux n’est pas officiellement prise en charge.
Commencez par installer le package Git sur votre système. Ouvrez votre gestionnaire de paquets, recherchez « git » et installez-le. Assurez-vous également d’avoir installé tous les outils de compilation nécessaires pour votre distribution (consultez le wiki de votre distribution pour plus d’informations). Par exemple, pour compiler sur Debian/Ubuntu, il faut `build-essential`.
Une fois Git installé, utilisez-le pour télécharger la dernière version de Firejail :
git clone https://github.com/netblue30/firejail.git
Le code est maintenant sur votre système. Entrez dans le répertoire téléchargé pour commencer le processus de compilation :
cd firejail
Avant de compiler, vous devez exécuter un fichier de configuration. Celui-ci analysera votre ordinateur et déterminera ses spécifications. Cette étape est cruciale pour la compilation.
configure
Maintenant que le programme est configuré, vous pouvez générer un makefile, qui contient les instructions nécessaires à la création du logiciel :
make
Enfin, installez Firejail sur votre système :
sudo make install-strip
Utilisation de Firejail
Utiliser Firejail pour isoler une application est simple. Pour isoler une application de base, ajoutez le préfixe « firejail » à la commande de lancement. Par exemple, pour lancer l’éditeur de texte Gedit dans un bac à sable, tapez `firejail gedit` dans le terminal. C’est l’utilisation la plus simple de Firejail. Cependant, pour une configuration plus fine, il faudra ajuster certains paramètres.
Par exemple, si vous lancez Firefox avec `firejail firefox`, le navigateur fonctionnera dans un environnement isolé, et aucune autre application du système ne pourra y accéder. C’est excellent pour la sécurité. Cependant, si vous souhaitez télécharger une image dans un répertoire, vous pourriez rencontrer des problèmes, car Firejail n’a pas accès par défaut à tous les répertoires. Il faut donc spécifier à quels répertoires le bac à sable doit avoir accès et à quels répertoires il doit être bloqué.
Listes blanches et listes noires de profils
La liste noire et la liste blanche sont définies par application. Il n’y a pas de valeurs par défaut globales. Firejail possède déjà de nombreux fichiers de configuration préconfigurés, qui définissent des paramètres par défaut acceptables pour la plupart des utilisateurs. Toutefois, les utilisateurs avancés peuvent modifier ces fichiers pour affiner le comportement de Firejail.
Ouvrez un terminal et accédez à `/etc/firejail` :
cd /etc/firejail
Utilisez la commande `ls` pour afficher le contenu du répertoire, en utilisant un pipe avec `more` pour faciliter la lecture. Appuyez sur Entrée pour faire défiler.
Recherchez le fichier de configuration de votre application. Pour cet exemple, nous continuerons avec Firefox.
ls | more
Ouvrez le profil de Firefox avec l’éditeur de texte nano :
sudo nano /etc/firejail/firefox.profile
Comme mentionné précédemment, Firejail propose des valeurs par défaut saines. Par exemple, par défaut, l’application a accès au répertoire `~/Downloads` et aux répertoires de plugins. Pour ajouter des éléments à cette liste blanche, accédez à la section correspondante du fichier de configuration et ajoutez vos règles.
Par exemple, pour faciliter le téléchargement de photos sur Facebook avec la version Firejail de Firefox, il faut ajouter :
whitelist ~/Pictures
Le même principe s’applique aux listes noires. Pour interdire à la version sandbox de Firefox l’accès à certains répertoires, vous pouvez ajouter :
blacklist ~/secret/file/area
Enregistrez vos modifications avec Ctrl + O.
Note : `~/` signifie `/home/utilisateur_actuel`
Conclusion
Le sandboxing est une excellente méthode pour se protéger contre les applications malveillantes ou les tentatives de vol de données. Si vous êtes soucieux de la sécurité sur Linux, il est fortement recommandé d’essayer Firejail.