با Firejail در مقابل آسیب پذیری های برنامه ها در لینوکس محفوظ تر بمانید!

در سیستم های مبتنی بر لینوکس دسترسی های حداقلی برای محافظت از منابع روی Filesystem تعریف شده اند. مانند «صاحب» یا «گروه» فایل و یا نوع دسترسی صاحب به فایل که مثلا می تواند «فقط خواندنی» باشد.

ولی در بعضی شرایط این سطح دسترسی ها کافی نیستند. مثلا اگر توجه کرده باشید برنامه هایی که روی لینوکس دسکتاپ خود باز می کنید به همه فایل های درون مسیر Home شما دسترسی دارند. مثلا فایرفاکس می تواند کلیدهای SSH شما را در مسیر ‎~/.ssh ببیند! حالا تصور کنید که اگر رخنه ای در فایرفاکس وجود داشته باشد که مهاجم بتواند به فایل های شما دسترسی پیدا کند کلیدهای SSH شما لو خواهد رفت! بنابراین نیاز به تعریف سطح دیگری از دسترسی احساس می شود که به هر برنامه، تنها اجازه دسترسی به منابعی را که نیاز دارد بدهد. در پاسخ به این نیاز SELinux و AppArmor به وجود آمده اند ولی پیچیدگیشان، مانعی برای استفاده از آن ها به خصوص در نرم افزارهای دسکتاپ است.

در عوض برنامه های سبک تری مانند Firejail هم وجود دارند که بدون نیاز به زدن کانفیگ های پیچیده می توانند تا حد بسیار خوبی از فایل های ما محافظت کنند. Firejail یک برنامه سبک به زبان C است که با استفاده از امکانات موجود در هسته لینوکس می تواند محیط اجرای برنامه را محدود کند. به صورتی که هر برنامه دید محدود و مخصوص خودش را از منابع سیستم مانند File system یا mount table داشته باشد. استفاده از Firejail به سادگی زدن یک دستور است. مثلا برای اجرای فایرفاکس:

$ firejail firefox

فایرفاکس با همان تنظیمات همیشگی شما اجرا خواهد شد. تفاوتی که وجود دارد بسیاری از مسیرها و منابع سیستم به صورت جعلی به فایرفاکس ارائه شده اند. اگر سعی کنید فایلی را ذخیره کنید متوجه می شوید که به جز پوشه Downloads و چند پوشه مخفی دیگر هیچ فایلی از خانه شما برای فایرفاکس قابل دیدن نیست! این محیطی است که Firejail به وجود آورده است و تنها پوشه Downloads آن واقعی است. پس اگر قصد ذخیره فایلی را دارید آن را حتما در این پوشه قرار دهید.

اساس کار Firejail پروفایلهایی هستند که در مسیر ‎/etc/firejail قرار دارند. برای برنامه های گوناگون، پروفایلی وجود دارد. شما هم اگر بخواهید می توانید برای برنامه خودتان پروفایلی نوشته یا پروفایل های موجود را ویرایش کنید. برای اطلاعات بیشتر می توانید به ویکی Firejail مراجعه کنید.

از مدیر

یک علاقه مند به لینوکس، جاوا و نرم افزارهای آزاد

نظر دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *