Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Virtualizzazione/VirtManager"
Differenze tra le versioni 121 e 122
Versione 121 del 23/12/2021 16.31.34
Dimensione: 3971
Autore: carlin0
Commento:
Versione 122 del 23/12/2021 16.49.56
Dimensione: 4247
Autore: carlin0
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 81: Linea 81:
 * Generalizzato, ovvero creare configurazioni per '''tutti i programmi installati''' in modo che vengano avviati tutti in sandbox digitando nel [[AmministrazioneSistema/Terminale|terminale]]: {{{ == Generalizzato ==

Ovvero creare configurazioni per '''tutti i programmi installati''' in modo che vengano avviati tutti in sandbox digitando nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
Linea 91: Linea 93:
 * Selettivo, ovvero creare configurazioni che rendano '''solo determinati programmi''' in sandbox se avviati dal normale '''Menù''', questo si ottiene creando dei link simbolici == Selettivo ==

Ovvero creare configurazioni che rendano '''solo determinati programmi''' in sandbox se avviati dal normale '''Menù''', questo si ottiene creando dei link simbolici digitando nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
sudo ln -s /usr/bin/firejail /usr/local/bin/nome_programma
}}}per esempio {{{
sudo ln -s /usr/bin/firejail /usr/local/bin/firefox
sudo ln -s /usr/bin/firejail /usr/local/bin/telegram-desktop
}}}

Introduzione

  • Firejail è un programma sandbox SUID di sicurezza che riduce il rischio di falle nella sicurezza restringendo l'ambiente di esecuzione di applicazioni non fidate, usando namespace Linux e seccomp-bpf. Permette ad un processo e tutti i suoi discendenti di avere la propria vista privata delle risorse del kernel globalmente condivise, come lo stack di rete, la tabella dei processi e la tabella dei montaggi.

Installazione

Esiste anche un frontend basato su Qt che si chiama firetools ma non lo tratteremo in questa pagina poichè il suo uso è molto intuitivo.

Funzionamento

Verranno fatti alcuni esempio usando le applicazioni Firefox e Telegram Desktop che sono di uso molto comune.

Ovvero, avviare un programma in sandbox da terminale sapendo che l'effetto della sandbox finirà alla chiusura de programma stesso.

  • Per avviare un programma in sandbox digitare nel terminale: 

    firejail <nome_programma>

    per esempio

    firejail firefox

  • Per avviare un programma in modalità modalità privata che prevede che il programma non legga nessun file nella propria Home comprese le sue configurazioni già salvate digitare nel terminale: 

    firejail --private <nome_programma>

    ad esempio

    firejail --private firefox

  • Per avviare una appimage in sandbox digitare nel terminale: 

    firejail --appimage <nome_programma>

  • Per vedere quali programmi stanno usando firejail digitare nel terminale: 

    firejail --list

    riceveremo una risposta simile a questa

    1734:carlo::/usr/bin/firejail /usr/bin/firefox
2456:carlo::/usr/bin/firejail /usr/bin/liferea 
2531:carlo::/usr/bin/firejail /usr/bin/telegram-desktop -

    in alternativa

    firejail --top

    o per un output più completo

    firejail --tree

  • Per elencare i link simbolici creati a firejail digitare nel terminale: 

    firecfg --list

    riceveremo una risposta simile a questa

    /usr/local/bin/thunderbird
/usr/local/bin/keepassxc
/usr/local/bin/firefox-esr
/usr/local/bin/liferea
/usr/local/bin/hexchat
/usr/local/bin/google-chrome-stable
/usr/local/bin/telegram-desktop

  • Per eliminare tutti i link simbolici creati digitare nel terminale: 

    sudo firecfg --clean

  • Per rimuovere solo un determinato link simbolico digitare nel terminale: 

    sudo rm /usr/local/bin/nome_programma

  • Per uccidere un processo in sandbox digitare nel terminale: 

    firejail --shutdown=PID

Integrazione Desktop

Ovvero, creare delle impostazioni che facciano in modo che avviando un programma normalmente dal Menù esso venga avviato in sandbox.

A tale proposito ci sono 2 modi per farlo:

Generalizzato

Ovvero creare configurazioni per tutti i programmi installati in modo che vengano avviati tutti in sandbox digitando nel terminale: 

sudo firecfg

Attenzione: questa modalità è altamente sconsigliata in quanto imposta configurazioni estremamente restrittive che rendono molto più difficoltoso l'uso di determinati programmi.

oppure

Selettivo

Ovvero creare configurazioni che rendano solo determinati programmi in sandbox se avviati dal normale Menù, questo si ottiene creando dei link simbolici digitando nel terminale: 

sudo ln -s /usr/bin/firejail /usr/local/bin/nome_programma

per esempio 

sudo ln -s /usr/bin/firejail /usr/local/bin/firefox
sudo ln -s /usr/bin/firejail /usr/local/bin/telegram-desktop