Linux下怎么通過Firejail提高系統(tǒng)安裝

Firejail的作用是使進(jìn)程及其子進(jìn)程能夠自己查看全局共享的內(nèi)核資源，包括網(wǎng)絡(luò)堆棧，進(jìn)程表和掛載表。

如何在Linux中安裝Firejail

可以使用git命令從項(xiàng)目的github頁面下載最新的軟件包來完成安裝，如圖所示。

linuxidc@linuxidc:~/www.linuxidc.com$ git clone https://github.com/netblue30/firejail.git
正克隆到 'firejail'...
remote: Enumerating objects: 23, done.
remote: Counting objects: 100% (23/23), done.
remote: Compressing objects: 100% (18/18), done.
remote: Total 38395 (delta 11), reused 11 (delta 5), pack-reused 38372
接收對(duì)象中: 100% (38395/38395), 9.82 MiB | 87.00 KiB/s, 完成.
處理 delta 中: 100% (30820/30820), 完成.
linuxidc@linuxidc:~/www.linuxidc.com$ cd firejail
linuxidc@linuxidc:~/www.linuxidc.com/firejail$ ./configure && make && sudo make install-strip
checking for gcc... gcc
checking whether the C compiler works... yes
checking for C compiler default output file name... a.out
checking for suffix of executables...
checking whether we are cross compiling... no
checking for suffix of object files... o

如果您的系統(tǒng)上沒有安裝git，可以使用以下命令安裝它：

$ sudo apt install git  [在 Debian/Ubuntu]# yum install git       [在 CentOS/RHEL]# dnf install git       [在 Fedora 22+]

安裝firejail的另一種方法是下載與Linux發(fā)行版相關(guān)聯(lián)的軟件包，并使用其軟件包管理器進(jìn)行安裝。 可以從項(xiàng)目的SourceForge頁面下載文件。 下載文件后，可以使用以下命令安裝：

$ sudo dpkg -i firejail_X.Y_1_amd64.deb   [在 Debian/Ubuntu]
$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm   [在 CentOS/RHEL/Fedora]

如何在Linux中使用Firejail運(yùn)行應(yīng)用程序

您現(xiàn)在可以使用firejail運(yùn)行應(yīng)用程序了。 這是通過啟動(dòng)終端并在您希望運(yùn)行的命令之前添加firejail來實(shí)現(xiàn)的。

下面是一個(gè)例子:

$ firejail firefox    #啟動(dòng) Firefox網(wǎng)絡(luò)瀏覽器$ firejail vlc        # 啟動(dòng) VLC 播放器

創(chuàng)建安全配置文件

Firejail包含許多針對(duì)不同應(yīng)用程序的安全配置文件，它們存儲(chǔ)在：

/etc/firejail

如果您從源代碼構(gòu)建項(xiàng)目，則可以在以下位置找到配置文件：

# path-to-firejail/etc/

如果您使用了rpm/deb軟件包，則可以在以下位置找到安全配置文件：

/etc/firejail/

用戶應(yīng)將其配置文件放在以下目錄中：

~/.config/firejail

如果要擴(kuò)展現(xiàn)有安全配置文件，可以使用包含配置文件路徑的include，然后添加行。 這應(yīng)該是這樣的：

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile
net none

如果您希望限制應(yīng)用程序訪問某個(gè)目錄，您可以使用黑名單規(guī)則來實(shí)現(xiàn)這一目標(biāo)。 例如，您可以將以下內(nèi)容添加到安全配置文件中：

blacklist ${HOME}/Documents

實(shí)現(xiàn)相同結(jié)果的另一種方法是實(shí)際描述您希望限制的文件夾的完整路徑：

blacklist /home/user/Documents

您可以通過許多不同的方式配置安全配置文件，例如禁止訪問，允許只讀訪問等。如果您有興趣構(gòu)建自定義配置文件，可以查看以下firejail說明。對(duì)于想要保護(hù)系統(tǒng)的安全用戶來說，F(xiàn)irejail是一個(gè)很棒的工具。