Ini ialah perintah penjara api yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
Firejail - program kotak pasir ruang nama Linux
SINOPSIS
Mulakan kotak pasir:
penjara api [PILIHAN] [program dan hujah]
Pembentukan trafik rangkaian untuk kotak pasir sedia ada:
penjara api --bandwidth={ | } arahan lebar jalur
Pemantauan:
penjara api {--senarai | --netstats | --atas | --pokok}
Pelbagai:
penjara api {-? | --debug-caps | --debug-errnos | --debug-syscalls | --debug-protocols
| --bantuan | --versi}
DESCRIPTION
Firejail ialah program kotak pasir SUID yang mengurangkan risiko pelanggaran keselamatan dengan
mengehadkan persekitaran berjalan aplikasi yang tidak dipercayai menggunakan ruang nama Linux,
seccomp-bpf dan keupayaan Linux. Ia membolehkan proses dan semua keturunannya mempunyai
pandangan peribadi mereka sendiri tentang sumber kernel yang dikongsi secara global, seperti susunan rangkaian,
meja proses, meja lekap. Firejail boleh berfungsi dalam persekitaran SELinux atau AppArmor, dan
ia disepadukan dengan Kumpulan Kawalan Linux.
Ditulis dalam C dengan hampir tiada kebergantungan, perisian ini berjalan pada mana-mana komputer Linux dengan
versi kernel 3.x atau lebih baru. Ia boleh kotak pasir apa-apa jenis proses: pelayan, grafik
aplikasi, dan juga sesi log masuk pengguna.
Firejail membolehkan pengguna mengurus keselamatan aplikasi menggunakan profil keselamatan. setiap satu
profil mentakrifkan satu set kebenaran untuk aplikasi tertentu atau kumpulan aplikasi.
Perisian ini termasuk profil keselamatan untuk beberapa program Linux yang lebih biasa, seperti
seperti Mozilla Firefox, Chromium, VLC, Transmisi dll.
PENGGUNAAN
Tanpa sebarang pilihan, kotak pasir terdiri daripada binaan sistem fail chroot dalam pelekap baharu
ruang nama, dan ruang nama PID dan UTS baharu. Ruang nama IPC, rangkaian dan pengguna boleh ditambah
menggunakan pilihan baris arahan. Sistem fail Firejail lalai adalah berdasarkan hos
sistem fail dengan direktori utama dipasang baca sahaja. Sahaja / home and / tmp boleh ditulis.
Semasa ia bermula, Firejail cuba mencari profil keselamatan berdasarkan nama
permohonan. Jika profil yang sesuai tidak ditemui, Firejail akan menggunakan profil lalai.
Profil lalai agak terhad. Sekiranya aplikasi tidak berfungsi, gunakan
--noprofile pilihan untuk melumpuhkannya. Untuk maklumat lanjut, sila lihat KESELAMATAN PROFIL
bawah seksyen ini.
Jika hujah program tidak dinyatakan, Firejail akan bermula / bin / bash cangkerang. Contoh:
$ penjara api [PILIHAN] # bermula a / bin / bash shell
$ firejail [PILIHAN] firefox # memulakan Mozilla Firefox
# sudo firejail [PILIHAN] /etc/init.d/nginx start
PILIHAN
-- Isyaratkan penamat pilihan dan lumpuhkan pemprosesan pilihan selanjutnya.
--bandwidth=nama
Tetapkan had lebar jalur untuk kotak pasir yang dikenal pasti mengikut nama, lihat TRAFFIC BENTUK
bahagian untuk maklumat lebih lanjut.
--bandwidth=pid
Tetapkan had lebar jalur untuk kotak pasir yang dikenal pasti oleh PID, lihat TRAFFIC BENTUK seksyen
untuk maklumat lanjut.
--bind=nama1,nama2
Lekapkan-ikat dirname1 di atas diname2. Pilihan ini hanya tersedia apabila berjalan
kotak pasir sebagai akar.
Contoh:
# penjara api --bind=/config/www,/ Var / www
--bind=nama fail1,nama fail2
Lekapkan-bind nama fail1 di atas nama fail2. Pilihan ini hanya tersedia apabila
berjalan sebagai akar.
Contoh:
# penjara api --bind=/config/etc/passwd,/ etc / passwd
--blacklist=nama_atau_nama fail
Direktori senarai hitam atau fail.
Contoh:
$ penjara api --senarai hitam=/ sbin --senarai hitam=/ usr / sbin
$ penjara api --senarai hitam=~/.mozilla
$ firejail "--blacklist=/home/username/My Virtual Machines"
-c Laksanakan arahan dan keluar.
--topi Keupayaan Linux ialah ciri kernel yang direka untuk membahagikan keistimewaan akar kepada
satu set keistimewaan yang berbeza. Keistimewaan ini boleh didayakan atau dilumpuhkan
secara bebas, dengan itu mengehadkan apa yang proses berjalan sebagai root boleh lakukan dalam
sistem.
Secara lalai program akar dijalankan dengan semua keupayaan didayakan. --caps pilihan melumpuhkan
keupayaan berikut: CAP_SYS_MODULE, CAP_SYS_RAWIO, CAP_SYS_BOOT,
CAP_SYS_NICE, CAP_SYS_TTY_CONFIG, CAP_SYSLOG, CAP_MKNOD, CAP_SYS_ADMIN. Penapis
digunakan untuk semua proses yang dimulakan dalam kotak pasir.
Contoh:
$ sudo firejail --caps "/etc/init.d/nginx start && sleep inf"
--caps.drop=semua
Gugurkan semua keupayaan untuk proses yang berjalan dalam kotak pasir. Pilihan ini ialah
disyorkan untuk menjalankan program GUI atau mana-mana program lain yang tidak memerlukan root
keistimewaan. Ia adalah pilihan yang mesti ada untuk program kotak pasir yang tidak dipercayai dipasang
daripada sumber tidak rasmi - seperti permainan, program Java, dsb.
Contoh:
$ penjara api --caps.drop=all warzone2100
--caps.drop=capability,capability,capability
Tentukan penapis keupayaan Linux senarai hitam tersuai.
Contoh:
$ penjara api --caps.keep=net_broadcast,net_admin,net_raw
--caps.keep=capability,capability,capability
Tentukan penapis keupayaan Linux senarai putih tersuai.
Contoh:
$ sudo firejail --caps.keep=chown,net_bind_service,setgid,\ setuid
/etc/init.d/nginx mula
Nota ringkas tentang mencampurkan pilihan --senarai putih dan --baca sahaja. Disenarai putih
direktori hendaklah dibuat baca sahaja secara bebas. Membuat direktori induk dibaca-
sahaja, tidak akan menjadikan senarai putih baca sahaja. Contoh:
$ penjara api --senarai putih=~/kerja --baca-sahaja=~/ --baca-sahaja=~/kerja
--caps.print=nama
Cetak penapis topi untuk kotak pasir yang dikenal pasti mengikut nama.
Contoh:
$ penjara api --name=mygame --caps.drop=all warzone2100 &
[...]
$ penjara api --caps.print=mygame
--caps.print=pid
Cetak penapis topi untuk kotak pasir yang dikenal pasti oleh PID.
Contoh:
$ penjara api --senarai
3272:netblue:firejail --firefox peribadi
$ penjara api --caps.print=3272
--cgroup=fail-tugas
Letakkan kotak pasir dalam kumpulan kawalan yang ditentukan. tasks-file ialah laluan penuh
fail tugas cgroup.
Contoh:
# penjara api --cgroup=/sys/fs/cgroup/g1/tasks
--chroot=nama nama
Chroot kotak pasir ke dalam sistem fail akar. Jika kotak pasir dimulakan seperti biasa
penapis pengguna, seccomp lalai dan keupayaan didayakan.
Contoh:
$ firejail --chroot=/media/ubuntu warzone2100
--cpu=cpu-nombor, cpu-nombor, cpu-nombor
Tetapkan pertalian CPU.
Contoh:
$ penjara api --cpu=0,1 brek tangan
--csh Gunakan /bin/csh sebagai shell pengguna lalai.
Contoh:
$ penjara api --csh
--nyahpepijat
Cetak mesej nyahpepijat.
Contoh:
$ firejail --debug firefox
--debug-senarai hitam
Nyahpepijat senarai hitam.
Contoh:
$ firejail --debug-blacklists firefox
--debug-caps
Cetak semua keupayaan yang diiktiraf dalam binaan dan keluar perisian Firejail semasa.
Contoh:
$ penjara api --debug-caps
--debug-check-nama fail
Nyahpepijat penyemakan nama fail.
Contoh:
$ firejail --debug-check-filename firefox
--debug-errnos
Cetak semua nombor ralat yang diiktiraf dalam binaan dan keluar perisian Firejail semasa.
Contoh:
$ firejail --debug-errnos
--debug-protocols
Cetak semua protokol yang diiktiraf dalam binaan dan keluar perisian Firejail semasa.
Contoh:
$ firejail --debug-protocols
--debug-syscalls
Cetak semua panggilan sistem yang diiktiraf dalam binaan dan keluar perisian Firejail semasa.
Contoh:
$ firejail --debug-syscalls
--debug-whitelsts
Nyahpepijat senarai putih.
Contoh:
$ firejail --debug-whitelists firefox
--defaultgw=alamat
Gunakan alamat ini sebagai gerbang lalai dalam ruang nama rangkaian baharu.
Contoh:
$ firejail --net=eth0 --defaultgw=10.10.20.1 firefox
--dns=alamat
Tetapkan pelayan DNS untuk kotak pasir. Sehingga tiga pelayan DNS boleh ditakrifkan. Guna ini
pilihan jika anda tidak mempercayai persediaan DNS pada rangkaian anda.
Contoh:
$ firejail --dns=8.8.8.8 --dns=8.8.4.4 firefox
--dns.print=nama
Cetak konfigurasi DNS untuk kotak pasir yang dikenal pasti mengikut nama.
Contoh:
$ penjara api --name=mygame --caps.drop=all warzone2100 &
[...]
$ penjara api --dns.print=mygame
--dns.print=pid
Cetak konfigurasi DNS untuk kotak pasir yang dikenal pasti oleh PID.
Contoh:
$ penjara api --senarai
3272:netblue:firejail --firefox peribadi
$ penjara api --dns.print=3272
--env=name=value
Tetapkan pembolehubah persekitaran dalam kotak pasir baharu.
Contoh:
$ firejail --env=LD_LIBRARY_PATH=/opt/test/lib
- kekuatan
Secara lalai, jika Firejail dimulakan dalam kotak pasir sedia ada, ia akan menjalankan program
dalam shell bash. Pilihan ini melumpuhkan tingkah laku ini dan cuba untuk bermula
Penjara api dalam kotak pasir sedia ada. Mungkin terdapat banyak sebab untuk ia gagal,
contohnya jika kotak pasir sedia ada melumpuhkan keupayaan pentadbir, binari SUID atau
jika ia berjalan seccom.
--fs.print=nama
Cetak log sistem fail untuk kotak pasir yang dikenal pasti mengikut nama.
Contoh:
$ penjara api --name=mygame --caps.drop=all warzone2100 &
[...]
$ penjara api --fs.print=mygame
--fs.print=pid
Cetak log sistem fail untuk kotak pasir yang dikenal pasti oleh PID.
Contoh:
$ penjara api --senarai
3272:netblue:firejail --firefox peribadi
$ penjara api --fs.print=3272
-?, - membantu
Pilihan cetak tamat keluar.
--hostname=nama
Tetapkan nama hos kotak pasir.
Contoh:
$ firejail --hostname=officepc firefox
--ignore=perintah
Abaikan arahan dalam fail profil.
Contoh:
$ firejail --ignore=shell --ignore=seccomp firefox
--antara muka=antara muka
Alihkan antara muka dalam ruang nama rangkaian baharu. Sehingga empat --pilihan antara muka boleh
dinyatakan.
Contoh:
$ firejail --interface=eth1 --interface=eth0.vlan100
--ip=alamat
Berikan alamat IP kepada antara muka rangkaian terakhir yang ditakrifkan oleh pilihan --net. A
gerbang lalai ditetapkan secara lalai.
Contoh:
$ firejail --net=eth0 --ip=10.10.20.56 firefox
--ip=tiada
Tiada alamat IP dan tiada get laluan lalai dikonfigurasikan untuk antara muka terakhir yang ditentukan
dengan pilihan --net. Gunakan pilihan ini sekiranya anda berhasrat untuk memulakan DHCP luaran
pelanggan dalam kotak pasir.
Contoh:
$ firejail --net=eth0 --ip=none
--ip6=alamat
Berikan alamat IPv6 kepada antara muka rangkaian terakhir yang ditakrifkan oleh pilihan --net.
Contoh:
$ firejail --net=eth0 --ip6=2001:0db8:0:f101::1/64 firefox
--iprange=alamat,alamat
Berikan alamat IP dalam julat yang disediakan kepada antara muka rangkaian terakhir yang ditakrifkan oleh
pilihan --net. Gerbang lalai diberikan secara lalai.
Contoh:
$ firejail --net=eth0 --iprange=192.168.1.100,192.168.1.150
--ipc-ruang nama
Dayakan ruang nama IPC baharu jika kotak pasir dimulakan sebagai pengguna biasa. IPC
ruang nama didayakan secara lalai untuk kotak pasir yang dimulakan sebagai akar.
Contoh:
$ firejail --ipc-namespace firefox
--join=nama
Sertai kotak pasir yang dikenal pasti mengikut nama. Secara lalai a / bin / bash shell dimulakan selepas
menyertai kotak pasir. Jika program ditentukan, program dijalankan dalam kotak pasir.
Jika arahan --join dikeluarkan sebagai pengguna biasa, semua penapis keselamatan dikonfigurasikan
untuk proses baharu, ia dikonfigurasikan dalam kotak pasir. Jika --join arahan
dikeluarkan sebagai akar, penapis keselamatan, cgroup dan konfigurasi cpus tidak
digunakan untuk proses menyertai kotak pasir.
Contoh:
$ penjara api --name=mygame --caps.drop=all warzone2100 &
[...]
$ penjara api --join=mygame
--join=pid
Sertai kotak pasir yang dikenal pasti oleh ID proses. Secara lalai a / bin / bash shell dimulakan
selepas menyertai kotak pasir. Jika program ditentukan, program dijalankan dalam
kotak pasir. Jika arahan --join dikeluarkan sebagai pengguna biasa, semua penapis keselamatan adalah
dikonfigurasikan untuk proses baharu sama seperti ia dikonfigurasikan dalam kotak pasir. Jika
--join arahan dikeluarkan sebagai root, penapis keselamatan, cgroups dan cpus
konfigurasi tidak digunakan pada proses menyertai kotak pasir.
Contoh:
$ penjara api --senarai
3272:netblue:firejail --firefox peribadi
$ penjara api --join=3272
--join-filesystem=nama
Sertai ruang nama pelekap kotak pasir yang dikenal pasti mengikut nama. Secara lalai a / bin / bash
shell dimulakan selepas menyertai kotak pasir. Jika program dinyatakan, program
dijalankan di dalam kotak pasir. Perintah ini hanya tersedia untuk pengguna root. Keselamatan
penapis, cgroups dan konfigurasi cpus tidak digunakan pada proses menyertai
kotak pasir.
--join-filesystem=pid
Sertai ruang nama pelekap kotak pasir yang dikenal pasti oleh ID proses. Secara lalai a
/ bin / bash shell dimulakan selepas menyertai kotak pasir. Jika sesuatu program ditentukan,
program dijalankan dalam kotak pasir. Perintah ini hanya tersedia untuk pengguna root.
Penapis keselamatan, cgroup dan konfigurasi cpus tidak digunakan pada proses
menyertai kotak pasir.
--join-network=nama
Sertai ruang nama rangkaian kotak pasir yang dikenal pasti mengikut nama. Secara lalai a
/ bin / bash shell dimulakan selepas menyertai kotak pasir. Jika sesuatu program ditentukan,
program dijalankan dalam kotak pasir. Perintah ini hanya tersedia untuk pengguna root.
Penapis keselamatan, cgroup dan konfigurasi cpus tidak digunakan pada proses
menyertai kotak pasir.
--join-network=pid
Sertai ruang nama rangkaian kotak pasir yang dikenal pasti oleh ID proses. Secara lalai a
/ bin / bash shell dimulakan selepas menyertai kotak pasir. Jika sesuatu program ditentukan,
program dijalankan dalam kotak pasir. Perintah ini hanya tersedia untuk pengguna root.
Penapis keselamatan, cgroup dan konfigurasi cpus tidak digunakan pada proses
menyertai kotak pasir.
--senarai Senaraikan semua kotak pasir, lihat PEMANTAUAN bahagian untuk maklumat lebih lanjut.
Contoh:
$ penjara api --senarai
7015:netblue:firejail firefox
7056:netblue:firejail --net=eth0 transmission-gtk
7064:netblue:firejail --noroot xterm
$
--mac=alamat
Berikan alamat MAC kepada antara muka rangkaian terakhir yang ditakrifkan oleh pilihan --net.
Contoh:
$ firejail --net=eth0 --mac=00:11:22:33:44:55 firefox
--mtu=nombor
Berikan nilai MTU kepada antara muka rangkaian terakhir yang ditakrifkan oleh pilihan --net.
Contoh:
$ penjara api --net=eth0 --mtu=1492
--nama=nama
Tetapkan nama kotak pasir. Beberapa pilihan, seperti --join dan --shutdown, boleh menggunakan nama ini
untuk mengenal pasti kotak pasir.
Contoh:
$ firejail --name=mybrowser firefox
--net=antaramuka_jambatan
Dayakan ruang nama rangkaian baharu dan sambungkannya ke antara muka jambatan ini. Melainkan
ditentukan dengan pilihan --ip dan --defaultgw, alamat IP dan get laluan lalai
akan diberikan secara automatik ke kotak pasir. Alamat IP disahkan menggunakan ARP
sebelum tugasan. Alamat yang dikonfigurasikan sebagai gerbang lalai ialah peranti jambatan
Alamat IP. Sehingga empat --net bridge device boleh ditakrifkan. Jambatan pencampuran dan
peranti macvlan dibenarkan.
Contoh:
$ sudo brctl addbr br0
$ sudo ifconfig br0 10.10.20.1/24
$ sudo brctl addbr br1
$ sudo ifconfig br1 10.10.30.1/24
$ penjara api --net=br0 --net=br1
--net=ethernet_interface
Dayakan ruang nama rangkaian baharu dan sambungkannya ke antara muka ethernet ini menggunakan
pemacu macvlan Linux standard. Melainkan dinyatakan dengan pilihan --ip dan --defaultgw,
alamat IP dan get laluan lalai akan diberikan secara automatik kepada kotak pasir.
Alamat IP disahkan menggunakan ARP sebelum tugasan. Alamat dikonfigurasikan sebagai
default gateway ialah default gateway hos. Sehingga empat peranti --net boleh
ditakrifkan. Mencampurkan peranti jambatan dan macvlan dibenarkan.
Contoh:
$ firejail --net=eth0 --ip=192.168.1.80 --dns=8.8.8.8 firefox
--net=tiada
Dayakan ruang nama rangkaian baharu yang tidak disambungkan. Satu-satunya antara muka yang tersedia dalam
ruang nama baharu ialah antara muka gelung balik baharu (lo). Gunakan pilihan ini untuk menafikan rangkaian
akses kepada program yang tidak memerlukan akses rangkaian.
Contoh:
$ penjara api --net=tiada vlc
--netfilter
Dayakan penapis rangkaian pelanggan lalai dalam ruang nama rangkaian baharu. Rangkaian baharu
ruang nama dibuat menggunakan pilihan --net. Jika ruang nama rangkaian baharu tidak
dicipta, --netfilter option tidak melakukan apa-apa. Penapis lalai adalah seperti berikut:
*penapis
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT TERIMA [0:0]
-A INPUT -i lo -j TERIMA
-A INPUT -m negeri --negeri BERKAITAN, DIBUAT -j TERIMA
-A INPUT -p icmp --jenis icmp destinasi-tidak boleh dicapai -j TERIMA
-A INPUT -p icmp --icmp-jenis masa-melampaui -j TERIMA
-A INPUT -p icmp --icmp-type echo-request -j TERIMA
KOMITMEN
Contoh:
$ firejail --net=eth0 --netfilter firefox
--netfilter=nama fail
Dayakan penapis rangkaian yang ditentukan oleh nama fail dalam ruang nama rangkaian baharu. The
format fail penapis ialah format perintah iptables-save dan iptable-restore.
Ruang nama rangkaian baharu dibuat menggunakan pilihan --net. Jika ruang nama rangkaian baharu
tidak dibuat, --netfilter option tidak melakukan apa-apa.
Penapis berikut tersedia dalam direktori /etc/firejail:
webserver.net ialah penapis pelayan web yang membenarkan akses hanya kepada port TCP 80 dan
443. contoh:
$ firejail --netfilter=/etc/firejail/webserver.net --net=eth0 \
/etc/init.d/apache2 permulaan
nolocal.net ialah penapis pelanggan yang melumpuhkan akses kepada rangkaian tempatan. Contoh:
$ firejail --netfilter=/etc/firejail/nolocal.net \
--net=eth0 firefox
--netfilter6=nama fail
Dayakan penapis rangkaian IPv6 yang ditentukan oleh nama fail dalam ruang nama rangkaian baharu.
Format fail penapis ialah format ip6tables-save dan ip6table-restore
arahan. Ruang nama rangkaian baharu dibuat menggunakan pilihan --net. Jika rangkaian baru
ruang nama tidak dibuat, pilihan --netfilter6 tidak melakukan apa-apa.
--netstats
Pantau statistik ruang nama rangkaian, lihat PEMANTAUAN bahagian untuk maklumat lebih lanjut.
Contoh:
$ penjara api --netstats
Perintah RX(KB/s) Pengguna PID TX(KB/s).
1294 netblue 53.355 1.473 firejail --net=eth0 firefox
7383 netblue 9.045 0.112 penjara api --net=eth0 penghantaran
--noblacklist=dirname_or_filename
Lumpuhkan senarai hitam untuk direktori atau fail ini.
Contoh:
$ penjara api
$ nc dict.org 2628
Bash: /bin/nc: Kebenaran ditolak
$ keluar
$ penjara api --noblacklist=/bin/nc
$ nc dict.org 2628
220 pan.alephnull.com dictd 1.12.1/rf pada Linux 3.14-1-amd64
--tiada kumpulan
Lumpuhkan kumpulan tambahan. Tanpa pilihan ini, kumpulan tambahan didayakan
untuk pengguna memulakan kotak pasir. Untuk kumpulan tambahan pengguna akar sentiasa
kurang upaya.
Contoh:
$ id
uid=1000(biru bersih) gid=1000(biru bersih)
groups=1000(netblue),24(cdrom),25(floppy),27(sudo),29(audio)
$ penjara api --nogroups
pid ibu bapa 8704, pid anak 8705
Proses kanak-kanak dimulakan
$ id
uid=1000(biru bersih) gid=1000(biru bersih) kumpulan=1000(biru bersih)
$
--noprofile
Jangan gunakan profil keselamatan.
Contoh:
$ penjara api
Membaca profil /etc/firejail/generic.profile
pid ibu bapa 8553, pid anak 8554
Proses kanak-kanak dimulakan
[...]
$ penjara api --noprofile
pid ibu bapa 8553, pid anak 8554
Proses kanak-kanak dimulakan
[...]
--tiada akar
Pasang ruang nama pengguna dengan satu pengguna - pengguna semasa. pengguna root tidak
wujud dalam ruang nama baharu. Pilihan ini memerlukan kernel Linux versi 3.8 atau
lebih baru. Pilihan ini tidak disokong untuk konfigurasi --chroot dan --overlay, atau
untuk kotak pasir bermula sebagai akar.
Contoh:
$ penjara api --noroot
pid ibu bapa 8553, pid anak 8554
Proses kanak-kanak dimulakan
$ ping google.com
ping: soket terbuka icmp: Operasi tidak dibenarkan
$
--tiada bunyi
Lumpuhkan sistem bunyi.
Contoh:
$ penjara api --nosound firefox
--output=fail log
stdout logging dan log rotation. Salin stdout ke fail log, dan simpan saiz fail
fail di bawah 500KB menggunakan putaran log. Lima fail dengan awalan .1 hingga .5 digunakan dalam
putaran.
Contoh:
$ penjara api --output=sandboxlog / bin / bash
[...]
$ ls -l sandboxlog*
-rw-r--r-- 1 netblue netblue 333890 Jun 2 07:48 sandboxlog
-rw-r--r-- 1 netblue netblue 511488 Jun 2 07:48 sandboxlog.1
-rw-r--r-- 1 netblue netblue 511488 Jun 2 07:48 sandboxlog.2
-rw-r--r-- 1 netblue netblue 511488 Jun 2 07:48 sandboxlog.3
-rw-r--r-- 1 netblue netblue 511488 Jun 2 07:48 sandboxlog.4
-rw-r--r-- 1 netblue netblue 511488 Jun 2 07:48 sandboxlog.5
--tindihan
Lekapkan tindanan sistem fail di atas sistem fail semasa. Semua sistem fail
pengubahsuaian masuk ke dalam tindanan. Tindanan disimpan dalam $HOME/.firejail
direktori.
Sokongan OverlayFS diperlukan dalam kernel Linux untuk pilihan ini berfungsi. OverlayFS
telah diperkenalkan secara rasmi dalam kernel Linux versi 3.18
Contoh:
$ firejail --tindih firefox
--overlay-tmpfs
Lekapkan tindanan sistem fail di atas sistem fail semasa. Semua sistem fail
pengubahsuaian masuk ke dalam tindanan, dan dibuang apabila kotak pasir ditutup.
Sokongan OverlayFS diperlukan dalam kernel Linux untuk pilihan ini berfungsi. OverlayFS
telah diperkenalkan secara rasmi dalam kernel Linux versi 3.18
Contoh:
$ firejail --overlay-tmpfs firefox
--swasta
Pasang baru / Akar dan direktori /home/pengguna dalam sistem fail sementara. Semua
pengubahsuaian dibuang apabila kotak pasir ditutup.
Contoh:
$ penjara api --firefox peribadi
--private=direktori
Gunakan direktori sebagai rumah pengguna.
Contoh:
$ firejail --private=/home/netblue/firefox-home firefox
--private-bin=fail,fail
Bina yang baru / bin dalam sistem fail sementara, dan salin program dalam senarai. The
direktori yang sama juga diikat-dilekapkan / sbin, / usr / bin dan /usr/sbin.
Contoh:
$ penjara api --private-bin=bash,sed,ls,cat
pid ibu bapa 20841, pid anak 20842
Proses kanak-kanak dimulakan
$ls / bin
bash cat ls sed
--private-dev
Buat yang baru / dev direktori. Hanya dri, null, penuh, sifar, tty, pts, ptmx, rawak,
peranti urandom, log dan shm tersedia.
Contoh:
$ penjara api --private-dev
pid ibu bapa 9887, pid anak 9888
Proses kanak-kanak dimulakan
$ls / dev
dri log penuh null ptmx pts rawak shm tty urandom sifar
$
--private-etc=fail, direktori
Bina yang baru / Etc dalam sistem fail sementara, dan salin fail dan direktori masuk
senarai. Semua pengubahsuaian dibuang apabila kotak pasir ditutup.
Contoh:
$ firejail --private-etc=group,hostname,localtime, \
nsswitch.conf,passwd,resolv.conf
--private-tmp
Lekapkan sistem fail sementara kosong di atas / tmp direktori.
Contoh:
$ penjara api --private-tmp
--profile=nama fail
Muatkan profil keselamatan tersuai daripada nama fail. Untuk nama fail gunakan laluan mutlak atau
laluan relatif kepada laluan semasa. Untuk maklumat lanjut, lihat KESELAMATAN PROFIL
seksyen di bawah.
Contoh:
$ firejail --profile=myprofile
--profile-path=direktori
Gunakan direktori ini untuk mencari fail profil. Gunakan laluan mutlak atau laluan dalam
direktori rumah bermula dengan ~ /. Untuk maklumat lanjut, lihat KESELAMATAN PROFIL
bahagian di bawah dan MENEMUKAN SEMULA PROFIL FILES in lelaki 5 profil penjara api.
Contoh:
$ firejail --profile-path=~/myprofiles
$ firejail --profile-path=/home/netblue/myprofiles
--protokol=protokol,protokol,protokol
Dayakan penapis protokol. Penapis adalah berdasarkan seccom dan menyemak yang pertama
hujah kepada panggilan sistem soket. Nilai yang diiktiraf: unix, inet, inet6, netlink dan
sebungkus.
Contoh:
$ firejail --protocol=unix,inet,inet6 firefox
--protocol.print=name
Cetak penapis protokol untuk kotak pasir yang dikenal pasti mengikut nama.
Contoh:
$ firejail --name=mybrowser firefox &
[...]
$ penjara api --print.print=mybrowser
unix,inet,inet6,netlink
--protocol.print=pid
Cetak penapis protokol untuk kotak pasir yang dikenal pasti oleh PID.
Contoh:
$ penjara api --senarai
3272:netblue:firejail --firefox peribadi
$ penjara api --protocol.print=3272
unix,inet,inet6,netlink
--senyap
Matikan output Firejail.
--read-only=nama_atau_nama fail
Tetapkan direktori atau fail baca sahaja.
Contoh:
$ penjara api --baca-sahaja=~/.mozilla firefox
--rlimit-fsize=nombor
Tetapkan saiz fail maksimum yang boleh dibuat oleh proses.
--rlimit-nofile=nombor
Tetapkan bilangan maksimum fail yang boleh dibuka melalui proses.
--rlimit-nproc=nombor
Tetapkan bilangan maksimum proses yang boleh dibuat untuk ID pengguna sebenar bagi
proses memanggil.
--rlimit-sigpending=nombor
Tetapkan bilangan maksimum isyarat yang belum selesai untuk sesuatu proses.
--imbas ARP-imbas semua rangkaian dari dalam ruang nama rangkaian. Ini membolehkannya
untuk mengesan pemacu peranti kernel macvlan yang berjalan pada hos semasa.
Contoh:
$ firejail --net=eth0 --scan
--sekomp
Dayakan penapis seccomp dan senarai hitam syscall dalam senarai lalai. lalai
senarai adalah seperti berikut: mount, umount2, ptrace, kexec_load, kexec_file_load,
open_by_handle_at, init_module, finit_module, delete_module, iopl, ioperm, swapon,
swapoff, syslog, process_vm_readv, process_vm_writev, sysfs,_sysctl, adjtimex,
clock_adjtime, lookup_dcookie, perf_event_open, fanotify_init, kcmp, add_key,
request_key, keyctl, uselib, acct, modify_ldt, pivot_root, io_setup, io_destroy,
io_getevents, io_submit, io_cancel, remap_file_pages, mbind, get_mempolicy,
set_mempolicy, migrate_pages, move_pages, vmsplice, perf_event_open dan chroot.
Contoh:
$ penjara api --seccomp
--seccom=syscall,syscall,syscall
Dayakan penapis seccomp, senarai hitam senarai lalai dan syscall yang ditentukan oleh
perintah.
Contoh:
$ firejail --seccomp=utime,utimensat,utimes firefox
--seccomp.drop=syscall,syscall,syscall
Dayakan penapis seccomp, dan senarai hitam syscalls yang ditentukan oleh arahan.
Contoh:
$ firejail --seccomp.drop=utime,utimensat,utimes
--seccomp.keep=syscall,syscall,syscall
Dayakan penapis seccomp dan senarai putih syscalls yang ditentukan oleh arahan.
Contoh:
$ firejail --shell=none --seccomp.keep=poll,select,[...] transmission-gtk
--seccomp. =syscall,syscall,syscall
Dayakan penapis seccomp, dan kembalikan errno untuk syscalls yang ditentukan oleh arahan.
Contoh: cangkerang Bash yang memadamkan fail dilumpuhkan
$ penjara api --seccomp.eperm=unlinkat
pid ibu bapa 10662, pid anak 10663
Proses kanak-kanak dimulakan
$ sentuh fail ujian
$rm fail ujian
rm: tidak boleh mengalih keluar `testfile': Operasi tidak dibenarkan
--seccom.print=name
Cetak penapis seccom untuk kotak pasir yang mula menggunakan pilihan --name.
Contoh:
$ firejail --name=pelayar firefox &
$ firejail --seccomp.print=browser
Penapis SECCOMP:
VALIDATE_ARCHITECTURE
EXAMINE_SYSCALL
SENARAI HITAM 165 lekap
SENARAI HITAM 166 umount2
SENARAI HITAM 101 ptrace
SENARAI HITAM 246 kexec_load
SENARAI HITAM 304 open_by_handle_at
SENARAI HITAM 175 init_module
SENARAI HITAM 176 delete_modul
SENARAI HITAM 172 iopl
SENARAI HITAM 173 ioperm
SENARAI HITAM 167 swapon
SENARAI HITAM 168 swapoff
SENARAI HITAM 103 syslog
SENARAI HITAM 310 process_vm_readv
SENARAI HITAM 311 process_vm_writev
SENARAI HITAM 133 mknod
SENARAI HITAM 139 sysfs
SENARAI HITAM 156 _sysctl
SENARAI HITAM 159 adjtimex
SENARAI HITAM 305 clock_adjtime
SENARAI HITAM 212 lookup_dcookie
SENARAI HITAM 298 perf_event_open
SENARAI HITAM 300 fanotify_init
RETURN_ALLOW
$
--seccom.print=pid
Cetak penapis seccom untuk kotak pasir yang ditentukan oleh ID proses. Gunakan pilihan --list
untuk mendapatkan senarai semua kotak pasir aktif.
Contoh:
$ penjara api --senarai
10786:netblue:firejail --name=browser firefox $ firejail --seccomp.print=10786
Penapis SECCOMP:
VALIDATE_ARCHITECTURE
EXAMINE_SYSCAL
SENARAI HITAM 165 lekap
SENARAI HITAM 166 umount2
SENARAI HITAM 101 ptrace
SENARAI HITAM 246 kexec_load
SENARAI HITAM 304 open_by_handle_at
SENARAI HITAM 175 init_module
SENARAI HITAM 176 delete_modul
SENARAI HITAM 172 iopl
SENARAI HITAM 173 ioperm
SENARAI HITAM 167 swapon
SENARAI HITAM 168 swapoff
SENARAI HITAM 103 syslog
SENARAI HITAM 310 process_vm_readv
SENARAI HITAM 311 process_vm_writev
SENARAI HITAM 133 mknod
SENARAI HITAM 139 sysfs
SENARAI HITAM 156 _sysctl
SENARAI HITAM 159 adjtimex
SENARAI HITAM 305 clock_adjtime
SENARAI HITAM 212 lookup_dcookie
SENARAI HITAM 298 perf_event_open
SENARAI HITAM 300 fanotify_init
RETURN_ALLOW
$
--shell=tiada
Jalankan program secara langsung, tanpa shell pengguna.
Contoh:
$ firejail --shell=none script.sh
--shell=program
Tetapkan shell pengguna lalai. Gunakan shell ini untuk menjalankan aplikasi menggunakan -c shell
pilihan. Contohnya "firejail --shell=/bin/dash firefox" akan memulakan Mozilla
Firefox sebagai "/bin/dash -c firefox". Secara lalai Bash shell (/ bin / bash) digunakan.
Pilihan seperti --zsh dan --csh juga boleh menetapkan shell lalai.
Contoh: $firejail --shell=/bin/dash skrip.sh
--shutdown = nama
Tutup kotak pasir mula menggunakan pilihan --name.
Contoh:
$ penjara api --name=mygame --caps.drop=all warzone2100 &
[...]
$ penjara api --shutdown=mygame
--shutdown=pid
Matikan kotak pasir yang ditentukan oleh ID proses. Gunakan pilihan --list untuk mendapatkan senarai
semua kotak pasir aktif.
Contoh:
$ penjara api --senarai
3272:netblue:firejail --firefox peribadi
$ penjara api --shutdown=3272
--tmpfs=nama nama
Lekapkan sistem fail tmpfs pada nama direktori. Pilihan ini hanya tersedia apabila
menjalankan kotak pasir sebagai akar.
Contoh:
# penjara api --tmpfs=/ var
--atas Pantau kotak pasir yang paling intensif CPU, lihat PEMANTAUAN bahagian untuk maklumat lebih lanjut.
Contoh:
$ penjara api --atas
--jejak
Jejak buka, akses dan sambungkan panggilan sistem.
Contoh:
$ firejail --trace wget -q www.debian.org
pid ibu bapa 11793, pid anak 11794
Proses kanak-kanak dimulakan
1:bash:open /dev/tty
1:wget:fopen64 /etc/wgetrc
1:wget:fopen / Etc / tuan rumah
1:wget:soket AF_INET SOCK_DGRAM IPPROTO_IP
1:wget:connect 8.8.8.8:53
1:wget:soket AF_INET SOCK_STREAM IPPROTO_IP
1:wget:connect 140.211.15.34:80
1:wget:fopen64 index.html.1
ibu bapa tutup, bye...
--tracelog
Pilihan ini membolehkan pengauditan fail dan direktori yang disenaraihitamkan. Mesej dihantar
kepada syslog sekiranya fail atau direktori diakses.
Contoh:
$ firejail --tracelog firefox
Contoh mesej:
$ sudo ekor -f / var / log / syslog
[...]
3 Dis 11:43:25 penjara api debian[70]: pelanggaran senarai hitam - kotak pasir 26370, exe
firefox, syscall open64, laluan / etc / bayangan
3 Dis 11:46:17 penjara api debian[70]: pelanggaran senarai hitam - kotak pasir 26370, exe
firefox, syscall opendir, laluan / boot
[...]
--pokok Cetak pokok semua proses kotak pasir, lihat PEMANTAUAN bahagian untuk maklumat lebih lanjut.
Contoh:
$ penjara api --pokok
11903: netblue: firejail iceweasel
11904:netblue:iceweasel
11957:netblue:/usr/lib/iceweasel/plugin-container
11969:netblue:firejail --net=eth0 transmission-gtk
11970:netblue:transmission-gtk
--pengguna=pengguna-baru
Tukar pengguna sebelum memulakan kotak pasir. Perintah ini harus dijalankan sebagai root.
Contoh:
# penjara api --user=www-data
--versi
Cetak versi program dan keluar.
Contoh:
$ penjara api --versi
firejail versi 0.9.27
--whitelist=dirname_or_filename
Senarai putih direktori atau fail. Ciri ini dilaksanakan hanya untuk rumah pengguna, / dev,
/separuh, / memilih, / var, dan / tmp direktori.
Contoh:
$ penjara api --senarai putih=~/.mozilla --senarai putih=~ / Muat Turun
$ penjara api --senarai putih=/tmp/.X11-unix --senarai putih=/dev/null
$ firejail "--whitelist=/home/username/My Virtual Machines"
--zsh Gunakan /usr/bin/zsh sebagai shell pengguna lalai.
Contoh:
$ penjara api --zsh
TRAFFIC BENTUK
Jalur lebar rangkaian ialah sumber mahal yang dikongsi antara semua kotak pasir yang berjalan pada sistem.
Pembentukan trafik membolehkan pengguna meningkatkan prestasi rangkaian dengan mengawal jumlahnya
data yang mengalir masuk dan keluar dari kotak pasir.
Firejail melaksanakan pembentuk pengehad kadar yang mudah berdasarkan perintah Linux tc. Pembentuk
berfungsi pada tahap kotak pasir dan hanya boleh digunakan untuk kotak pasir yang dikonfigurasikan dengan rangkaian baharu
ruang nama.
Tetapkan had kadar:
firejail --bandwidth={name|pid} tetapkan muat naik muat turun rangkaian
Kosongkan had kadar:
firejail --bandwidth={name|pid} bersihkan rangkaian
status:
firejail --bandwidth={nama|pid} status
di mana:
nama - nama kotak pasir
pid - pid kotak pasir
rangkaian - antara muka rangkaian seperti yang digunakan oleh pilihan --net
muat turun - kelajuan muat turun dalam KB/s (kilobait sesaat)
muat naik - kelajuan muat naik dalam KB/s (kilobait sesaat)
Contoh:
$ firejail --name=mybrowser --net=eth0 firefox &
$ firejail --bandwidth=mybrowser set eth0 80 20
$ firejail --bandwidth=status pelayar saya
$ firejail --bandwidth=mybrowser clear eth0
PEMANTAUAN
Pilihan --list mencetak senarai semua kotak pasir. Format untuk setiap kemasukan proses adalah sebagai
ikut:
PID:USER:Arahan
Option --tree mencetak pokok proses yang berjalan dalam kotak pasir. Format untuk setiap
proses kemasukan adalah seperti berikut:
PID:USER:Arahan
Option --top adalah serupa dengan arahan atas UNIX, namun ia hanya terpakai pada kotak pasir.
Pilihan --netstats mencetak statistik rangkaian untuk kotak pasir aktif yang memasang rangkaian baharu
ruang nama.
Disenaraikan di bawah adalah medan tersedia (lajur) dalam susunan abjad untuk --atas dan
--pilihan netstat:
Perintah
Perintah yang digunakan untuk memulakan kotak pasir.
CPU% penggunaan CPU, bahagian kotak pasir masa CPU yang telah berlalu sejak kemas kini skrin terakhir
PID ID proses unik untuk tugas mengawal kotak pasir.
Prcs Bilangan proses yang berjalan dalam kotak pasir, termasuk proses kawalan.
RES Resident Memory Size (KiB), kotak pasir memori fizikal tidak ditukar. Ia adalah jumlah
nilai RES untuk semua proses yang berjalan dalam kotak pasir.
RX(KB/s)
Rangkaian menerima kelajuan.
Saiz Memori Dikongsi SHR (KiB), ia mencerminkan memori yang dikongsi dengan proses lain. Ia adalah
jumlah nilai SHR untuk semua proses yang berjalan dalam kotak pasir, termasuk
proses mengawal.
TX(KB/s)
Kelajuan penghantaran rangkaian.
Masa berjalan Kotak Pasir Masa dalam format jam:minit:saat.
Pengguna Pemilik kotak pasir.
KESELAMATAN PROFIL
Beberapa pilihan baris arahan boleh dihantar ke program menggunakan fail profil. penjara api
memilih fail profil seperti berikut:
1. Jika fail profil disediakan oleh pengguna dengan pilihan --profile, fail profil adalah
dimuatkan. Contoh:
$ firejail --profile=/home/netblue/icecat.profile icecat
Membaca profil /home/netblue/icecat.profile
[...]
2. Jika fail profil dengan nama yang sama dengan aplikasi terdapat dalam
~/.config/firejail direktori atau dalam /etc/firejail, profil dimuatkan.
~/.config/firejail diutamakan daripada /etc/firejail. Contoh:
$ kucing ais penjara api
Nama arahan #icecat#
Menemui profil icecat dalam direktori /home/netblue/.config/firejail
Membaca profil /home/netblue/.config/firejail/icecat.profile
[...]
3. Gunakan fail default.profile jika kotak pasir dimulakan oleh pengguna biasa, atau server.profile
fail jika kotak pasir dimulakan oleh akar. Firejail mencari fail ini dalam
~/.config/firejail direktori, diikuti dengan direktori /etc/firejail. Untuk melumpuhkan lalai
memuatkan profil, gunakan --noprofile pilihan arahan. Contoh:
$ penjara api
Membaca profil /etc/firejail/generic.profile
pid ibu bapa 8553, pid anak 8554
Proses kanak-kanak dimulakan
[...]
$ penjara api --noprofile
pid ibu bapa 8553, pid anak 8554
Proses kanak-kanak dimulakan
[...]
Lihat man 5 firejail-profile untuk maklumat sintaks fail profil.
TERHAD SHELL
Untuk mengkonfigurasi shell terhad, gantikan / bin / bash dengan /usr/bin/firejail dalam /etc/password
fail untuk setiap pengguna yang perlu dihadkan. Sebagai alternatif, anda boleh menentukan
/usr/bin/firejail dalam arahan adduser:
adduser --shell /usr/bin/firejail nama pengguna
Argumen tambahan yang diserahkan kepada penjara api boleh dilaksanakan semasa log masuk diisytiharkan masuk
/etc/firejail/login.users fail.
CONTOH
penjara api
Mulakan biasa / bin / bash sesi dalam kotak pasir.
firefox penjara api
Mulakan Mozilla Firefox.
firejail --debug firefox
Nyahpepijat kotak pasir Firefox.
penjara api --swasta
Mulakan / bin / bash sesi dengan direktori rumah tmpfs baharu.
penjara api --net=br0 ip=10.10.20.10
Mulakan / bin / bash sesi dalam ruang nama rangkaian baharu. Sesi disambungkan kepada
rangkaian utama menggunakan peranti jambatan br0. Alamat IP 10.10.20.10 diberikan
ke kotak pasir.
penjara api --net=br0 --net=br1 --net=br2
Mulakan / bin / bash sesi dalam ruang nama rangkaian baharu dan sambungkannya ke br0, br1,
dan peranti jambatan hos br2.
penjara api --senarai
Senaraikan semua proses kotak pasir.
Gunakan penjara api dalam talian menggunakan perkhidmatan onworks.net
