Linux a la réputation d’être assez sécurisé, et sur les trois grands systèmes d’exploitation, il rencontre beaucoup moins de problèmes en matière de confidentialité. Néanmoins, aussi sécurisé que puisse être Linux, il y a toujours place à l’amélioration. Présentation de Firejail. C’est une application qui permet aux utilisateurs de prendre n’importe quelle application en cours d’exécution et de la «mettre en prison» ou de la «bac à sable». Firejail vous permet d’isoler une application et de l’empêcher d’accéder à quoi que ce soit d’autre sur le système. L’application est l’outil de sandboxing de programme le plus populaire sur Linux. C’est pour cette raison que de nombreuses distributions Linux ont décidé de livrer ce logiciel. Voici comment obtenir le Firejail sur Linux.
ALERTE SPOILER: faites défiler vers le bas et regardez le didacticiel vidéo à la fin de cet article.
Table des matières
Installation
Ubuntu
sudo apt install firejail
Debian
sudo apt-get install firejail
Arch Linux
sudo pacman -S firejail
Vous n’êtes pas satisfait de la version repo de Firejail sur Arch? Pensez à construire la version Git de l’AUR à la place.
Feutre
Malheureusement, il n’y a pas de package Firejail pour Fedora à voir. Les dépôts principaux ne l’ont pas, et il n’y a aucune raison de croire que cela va changer. Les utilisateurs de Fedora peuvent toujours installer le logiciel, avec Copr.
Copr est très similaire aux PPA sur Ubuntu ou à Arch Linux AUR. Tout utilisateur peut créer un dépôt Copr et y installer un logiciel. Il existe de nombreux dépôts FireJail Copr, donc si celui que nous listons dans cet article cesse de se mettre à jour, n’hésitez pas à aller sur le site et trouvez un remplaçant.
Pour obtenir Firejail sur Fedora, faites:
sudo dnf copr enable ssabchew/firejail sudo dnf install firejail
OpenSUSE
Comme la plupart des logiciels tiers pour Suse, les utilisateurs trouveront Firejail dans l’OBS. Les versions de Firejail peuvent être rapidement installées pour les dernières versions de Leap et Tumbleweed. Attrape les Ici.
Assurez-vous de cliquer sur le bouton 1-clic pour installer via YaST.
Autre
Le code source de Firejail est facilement disponible et facile à compiler si vous utilisez une distribution Linux non prise en charge.
Pour commencer, installez le package Git sur votre version de Linux. Pour ce faire, ouvrez votre gestionnaire de paquets, recherchez «git» et installez-le sur le système. Assurez-vous également d’installer tous les outils de construction spéciaux pour votre distribution Linux, si vous ne l’avez pas déjà fait (cela devrait être facile à trouver, vérifiez simplement le wiki de votre distribution). Par exemple, la compilation sur Debian / Ubuntu nécessite une compilation essentielle.
Une fois le package git installé sur le système, utilisez-le pour récupérer la dernière version du logiciel Firejail.
git clone https://github.com/netblue30/firejail.git
Le code est sur le système. Entrez le dossier téléchargé pour démarrer le processus de construction avec la commande cd.
cd firejail
Avant que ce logiciel puisse compiler, vous devrez exécuter un fichier configure. Cela analysera votre PC et indiquera au logiciel ce que votre PC a, quelles sont les spécifications, etc. Ceci est important, et sans cela, le logiciel ne se construira pas.
configure
Le programme est configuré pour la compilation. Maintenant, générons un makefile. Un makefile contient des instructions pour créer un logiciel. Faites cela avec la commande make.
make
Enfin, installez le logiciel Firejail sur votre système:
sudo make install-strip
Utiliser Firejail
Sandboxer quelque chose avec Firejail est facile. Pour un sandbox de programme de base, il suffit d’utiliser le préfixe «firejail» avant de saisir une commande. Par exemple: dans Sandbox, l’éditeur de texte Gedit, et silo s’il est hors du reste de votre installation Linux, vous faites: firejail gedit dans le terminal. C’est à peu près ainsi que cela fonctionne. Pour le sandboxing simple, cela suffit. Cependant, en raison de la complexité de ce logiciel, une certaine configuration est nécessaire.
Par exemple: si vous exécutez firejail firefox, le navigateur Firefox fonctionnera dans un bac à sable verrouillé, et rien d’autre sur le système ne pourra y toucher. C’est excellent pour la sécurité. Cependant, si vous souhaitez télécharger une image dans un répertoire, vous ne pourrez peut-être pas le faire, car Firejail n’a peut-être pas accès à tous les répertoires de votre système, etc. En conséquence, vous devrez parcourir et lister spécifiquement où un bac à sable PEUT et NE PEUT PAS aller sur le système. Voici comment procéder:
Liste blanche et liste noire des profils
La liste noire et la liste blanche sont une chose par application. Il n’y a aucun moyen de définir des valeurs par défaut globales pour ce à quoi les applications emprisonnées peuvent accéder. Firejail a de nombreux fichiers de configuration déjà configurés. Ils génèrent des valeurs par défaut saines avec ces fichiers de configuration et, par conséquent, les utilisateurs de base n’auront pas besoin de faire de modification. Néanmoins, si vous êtes un utilisateur avancé, la modification de ces types de fichiers peut être utile.
Ouvrez un terminal et accédez à / etc / firejail.
cd /etc/firejail
Utilisez la commande LS pour afficher tout le contenu du répertoire et utilisez un tube pour rendre chaque page visible. Appuyez sur la touche Entrée pour vous déplacer vers le bas de la page.
Recherchez le fichier de configuration de votre application et notez-le. En cela, nous allons continuer avec l’exemple Firefox.
ls | more
Ouvrez le profil Firefox Firejail dans l’éditeur de texte nano.
sudo nano /etc/firejail/firefox.profile
Comme indiqué précédemment, l’application Firejail a des valeurs par défaut saines. Cela signifie que les développeurs ont mis en place des paramètres par défaut qui devraient fonctionner pour la plupart des utilisateurs. Par exemple: bien que l’application soit emprisonnée, le répertoire ~ / Downloads et les répertoires de plugins sur le système sont disponibles. Pour ajouter plus d’éléments à cette liste blanche, accédez à la section du fichier de configuration où tout est mis en liste blanche et écrivez vos propres règles.
Par exemple, pour faciliter le téléchargement de photos sur mon profil Facebook dans la version firejail de Firefox, je devrai ajouter:
whitelist ~/Pictures
Le même principe peut être utilisé pour la liste noire. Pour empêcher la version sandbox de Firefox de voir des répertoires spécifiques (quoi qu’il arrive), n’hésitez pas à faire quelque chose comme:
blacklist ~/secret/file/area
Enregistrez vos modifications avec Ctrl + O
Remarque: «~ /» signifie / home / utilisateur actuel
Conclusion
Sanboxing est un moyen brillant de se protéger des applications qui fuient ou des mauvais acteurs cherchant à voler vos données. Si vous êtes paranoïaque sur Linux, c’est probablement une bonne idée de donner une chance sérieuse à cet outil.