To jest polecenie firejail, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
Firejail – program sandbox przestrzeni nazw systemu Linux
STRESZCZENIE
Uruchom piaskownicę:
Firejail [OPCJE] [program i argumenty]
Kształtowanie ruchu sieciowego dla istniejącej piaskownicy:
FireJail --bandwidth={ | } polecenie-przepustowości
Monitoring:
FireJail {--lista | --netstats | --góra | --drzewo}
Różne:
ogniste więzienie {-? | --debug-caps | --debug-errnos | --debug-syscalls | --protokoły debugowania
| --pomoc | --wersja}
OPIS
Firejail to program typu sandbox SUID, który zmniejsza ryzyko naruszeń bezpieczeństwa poprzez
ograniczanie środowiska działania niezaufanych aplikacji korzystających z przestrzeni nazw Linux,
możliwości seccomp-bpf i systemu Linux. Pozwala na to procesowi i wszystkim jego potomkom
własny, prywatny widok globalnie współdzielonych zasobów jądra, takich jak stos sieciowy,
stół procesowy, stół montażowy. Firejail może pracować w środowisku SELinux lub AppArmor i
jest zintegrowany z grupami kontrolnymi systemu Linux.
Napisane w języku C, praktycznie bez zależności, oprogramowanie działa na dowolnym komputerze z systemem Linux
wersja jądra 3.x lub nowsza. Może piaskować każdy typ procesów: serwerowy, graficzny
aplikacji, a nawet sesji logowania użytkowników.
Firejail pozwala użytkownikowi zarządzać bezpieczeństwem aplikacji za pomocą profili bezpieczeństwa. Każdy
profil definiuje zestaw uprawnień dla określonej aplikacji lub grupy aplikacji.
Oprogramowanie zawiera profile zabezpieczeń dla wielu popularnych programów dla systemu Linux, takich jak
jak Mozilla Firefox, Chromium, VLC, Transmission itp.
ZASTOSOWANIE
Bez żadnych opcji, piaskownica składa się z systemu plików chroot zbudowanego na nowym wierzchołku
przestrzeni nazw oraz nowych przestrzeni nazw PID i UTS. Można dodać przestrzenie nazw IPC, sieci i użytkowników
za pomocą opcji wiersza poleceń. Domyślny system plików Firejail jest oparty na hoście
system plików z głównymi katalogami zamontowanymi w trybie tylko do odczytu. Tylko / Home i / Tmp można pisać.
Po uruchomieniu Firejail próbuje znaleźć profil bezpieczeństwa na podstawie nazwy pliku
aplikacja. Jeśli odpowiedni profil nie zostanie znaleziony, Firejail użyje profilu domyślnego.
Domyślny profil jest dość restrykcyjny. Jeżeli aplikacja nie działa użyj
--noprofile opcję, aby ją wyłączyć. Aby uzyskać więcej informacji, zobacz BEZPIECZEŃSTWO PROFILE
Jeśli argument programu nie zostanie określony, zostanie uruchomiony Firejail / bin / bash powłoka. Przykłady:
$ firejail [OPCJE] # uruchomienie a / bin / bash powłoka
$ firejail [OPCJE] firefox # uruchamianie przeglądarki Mozilla Firefox
# sudo firejail [OPCJE] /etc/init.d/nginx start
OPCJE
-- Sygnalizuje koniec opcji i blokuje dalsze przetwarzanie opcji.
--przepustowość=nazwa
Ustaw limity przepustowości dla piaskownicy identyfikowanej po nazwie, patrz RUCH DROGOWY MODELACJA
sekcja po więcej szczegółów.
--przepustowość=pid
Ustaw limity przepustowości dla piaskownicy identyfikowanej przez PID, patrz RUCH DROGOWY MODELACJA Sekcja
by uzyskać więcej szczegółów.
--bind=nazwakatalogu1,nazwakatalogu2
Zamontuj nazwę katalogu 1 na górze nazwy katalogu 2. Ta opcja jest dostępna tylko podczas pracy
sandbox jako root.
Przykład:
# Firejail --bind=/config/www,/ Var / www
--bind=nazwa pliku1, nazwa pliku2
Zamontuj nazwę pliku 1 na górze nazwy pliku 2. Ta opcja jest dostępna tylko wtedy, gdy
działa jako root.
Przykład:
# Firejail --bind=/config/etc/passwd,/ Etc / passwd
--blacklist=nazwa_katalogu lub nazwa_pliku
Katalog lub plik na czarnej liście.
Przykład:
$firejail --czarna lista=/ sbin --czarna lista=/ usr / sbin
$firejail --czarna lista=~ / .mozilla
$ firejail "--blacklist=/home/nazwa użytkownika/Moje maszyny wirtualne"
-c Wykonaj polecenie i wyjdź.
--Czapki Możliwości systemu Linux to funkcja jądra zaprojektowana w celu podziału uprawnień roota na
zbiór odrębnych przywilejów. Uprawnienia te można włączyć lub wyłączyć
niezależnie, ograniczając w ten sposób możliwości procesu działającego jako root w pliku
pomimo napiętego harmonogramu
Domyślnie programy root działają z włączonymi wszystkimi funkcjami. --caps opcja wyłącza
następujące możliwości: CAP_SYS_MODULE, CAP_SYS_RAWIO, CAP_SYS_BOOT,
CAP_SYS_NICE, CAP_SYS_TTY_CONFIG, CAP_SYSLOG, CAP_MKNOD, CAP_SYS_ADMIN. Filtr
jest stosowany do wszystkich procesów uruchamianych w piaskownicy.
Przykład:
$ sudo firejail --caps "/etc/init.d/nginx start i& informacje o uśpieniu"
--caps.drop=wszystko
Usuń wszystkie możliwości procesów działających w piaskownicy. Ta opcja jest
zalecane do uruchamiania programów GUI lub innych programów, które nie wymagają uprawnień roota
przywileje. Jest to opcja niezbędna do piaskowania zainstalowanych niezaufanych programów
z nieoficjalnych źródeł - takich jak gry, programy Java itp.
Przykład:
$ firejail --caps.drop=all warzone2100
--caps.drop=możliwość, możliwość, możliwość
Zdefiniuj niestandardowy filtr możliwości systemu Linux na czarnej liście.
Przykład:
$ firejail --caps.keep=net_broadcast,net_admin,net_raw
--caps.keep=możliwość, zdolność, zdolność
Zdefiniuj niestandardowy filtr możliwości systemu Linux na białej liście.
Przykład:
$ sudo firejail --caps.keep=chown,net_bind_service,setgid,\setuid
/etc/init.d/nginx uruchom
Krótka uwaga na temat mieszania opcji --whitelist i --read-only. Biała lista
katalogi powinny być niezależnie ustawione jako tylko do odczytu. Odczyt katalogu nadrzędnego
only, nie spowoduje, że biała lista będzie tylko do odczytu. Przykład:
$firejail --biała lista=~/praca --tylko do odczytu=~/ --tylko do odczytu=~/praca
--caps.print=nazwa
Wydrukuj filtr wielkich liter dla piaskownicy identyfikowanej według nazwy.
Przykład:
$ firejail --name=moja gra --caps.drop=wszystkie warzone2100 &
[...]
$ firejail --caps.print=mojagra
--caps.print=pid
Wydrukuj filtr caps dla piaskownicy identyfikowanej przez PID.
Przykład:
$firejail --list
3272:netblue:firejail – prywatny Firefox
$ Firejail --caps.print=3272
--cgroup=plik-zadań
Umieść piaskownicę w określonej grupie kontrolnej. plik-zadań to pełna ścieżka
plik zadań cgroup.
Przykład:
# Firejail --cgroup=/sys/fs/cgroup/g1/tasks
--chroot=nazwa katalogu
Chrootuj piaskownicę w głównym systemie plików. Jeśli piaskownica jest uruchamiana normalnie
użytkownika, domyślne filtry seccomp i możliwości są włączone.
Przykład:
$firejail --chroot=/media/ubuntu warzone2100
--cpu=numer procesora, numer procesora, numer procesora
Ustaw powinowactwo procesora.
Przykład:
$ firejail --cpu=0,1 hamulec ręczny
--csz Użyj /bin/csh jako domyślnej powłoki użytkownika.
Przykład:
$ FireJail --csh
--odpluskwić
Wydrukuj komunikaty debugowania.
Przykład:
$ firejail --debuguj Firefoksa
--debug-czarne listy
Debuguj czarną listę.
Przykład:
$firejail --debug-blacklists firefox
--debug-caps
Wydrukuj wszystkie rozpoznane funkcje w bieżącej wersji oprogramowania Firejail i wyjdź.
Przykład:
$ firejail --debug-caps
--debug-check-nazwa-pliku
Debuguj sprawdzanie nazwy pliku.
Przykład:
$ firejail --debug-check-nazwa pliku firefox
--debug-errnos
Wydrukuj wszystkie rozpoznane numery błędów w bieżącej wersji oprogramowania Firejail i wyjdź.
Przykład:
$ Firejail --debug-errnos
--protokoły debugowania
Wydrukuj wszystkie rozpoznawane protokoły w bieżącej wersji oprogramowania Firejail i wyjdź.
Przykład:
$ firejail --protokoły debugowania
--debug-syscalls
Wydrukuj wszystkie rozpoznane wywołania systemowe w bieżącej kompilacji oprogramowania Firejail i zakończ.
Przykład:
$ firejail --debug-syscalls
--debug-whitelsts
Debuguj białą listę.
Przykład:
$ firejail --debug-whitelists firefox
--defaultgw=adres
Użyj tego adresu jako bramy domyślnej w nowej przestrzeni nazw sieci.
Przykład:
$ firejail --net=eth0 --defaultgw=10.10.20.1 firefox
--dns=adres
Ustaw serwer DNS dla piaskownicy. Można zdefiniować maksymalnie trzy serwery DNS. Użyj tego
opcję, jeśli nie ufasz konfiguracji DNS w swojej sieci.
Przykład:
$ FireJail --dns=8.8.8.8 --dns=8.8.4.4 Firefox
--dns.print=nazwa
Wydrukuj konfigurację DNS dla piaskownicy identyfikowanej po nazwie.
Przykład:
$ firejail --name=moja gra --caps.drop=wszystkie warzone2100 &
[...]
$ firejail --dns.print=mojagra
--dns.print=pid
Wydrukuj konfigurację DNS dla piaskownicy identyfikowanej przez PID.
Przykład:
$firejail --list
3272:netblue:firejail – prywatny Firefox
$ Firejail --dns.print=3272
--env=nazwa=wartość
Ustaw zmienną środowiskową w nowej piaskownicy.
Przykład:
$ firejail --env=LD_LIBRARY_PATH=/opt/test/lib
--siła
Domyślnie, jeśli Firejail zostanie uruchomiony w istniejącej piaskownicy, uruchomi program
w powłoce bash. Ta opcja wyłącza to zachowanie i podejmuje próbę uruchomienia
Firejail w istniejącej piaskownicy. Przyczyn niepowodzenia może być wiele,
na przykład, jeśli istniejąca piaskownica wyłącza możliwości administratora, pliki binarne SUID lub
jeśli działa seccomp.
--fs.print=nazwa
Wydrukuj dziennik systemu plików dla piaskownicy identyfikowanej według nazwy.
Przykład:
$ firejail --name=moja gra --caps.drop=wszystkie warzone2100 &
[...]
$ firejail --fs.print=mojagra
--fs.print=pid
Wydrukuj dziennik systemu plików dla piaskownicy identyfikowanej przez PID.
Przykład:
$firejail --list
3272:netblue:firejail – prywatny Firefox
$ Firejail --fs.print=3272
-?, --help
Opcje drukowania kończą się.
--nazwa hosta=nazwa
Ustaw nazwę hosta piaskownicy.
Przykład:
$firejail --nazwa hosta=officepc firefox
--ignore=polecenie
Ignoruj polecenie w pliku profilu.
Przykład:
$ firejail --ignore=powłoka --ignore=seccomp firefox
--interfejs=interfejs
Przenieś interfejs do nowej sieciowej przestrzeni nazw. Można wybrać maksymalnie cztery opcje --interface
określony.
Przykład:
$ firejail --interface=eth1 --interface=eth0.vlan100
--ip=adres
Przypisz adresy IP do ostatniego interfejsu sieciowego zdefiniowanego opcją --net. A
domyślnie przypisana jest brama domyślna.
Przykład:
$ firejail --net=eth0 --ip=10.10.20.56 firefox
--ip=brak
Dla ostatniego zdefiniowanego interfejsu nie skonfigurowano adresu IP ani bramy domyślnej
za pomocą opcji --net. Użyj tej opcji, jeśli zamierzasz uruchomić zewnętrzny serwer DHCP
klient w piaskownicy.
Przykład:
$ firejail --net=eth0 --ip=none
--ip6=adres
Przypisz adresy IPv6 do ostatniego interfejsu sieciowego zdefiniowanego opcją --net.
Przykład:
$ firejail --net=eth0 --ip6=2001:0db8:0:f101::1/64 firefox
--iprange=adres,adres
Przypisz adres IP z podanego zakresu do ostatniego interfejsu sieciowego zdefiniowanego przez
opcję --net. Domyślnie przypisana jest brama domyślna.
Przykład:
$ Firejail --net=eth0 --iprange=192.168.1.100,192.168.1.150
--ipc-przestrzeń nazw
Włącz nową przestrzeń nazw IPC, jeśli piaskownica została uruchomiona jako zwykły użytkownik. IPC
przestrzeń nazw jest domyślnie włączona dla piaskownic uruchomionych jako root.
Przykład:
$ firejail --ipc-namespace Firefox
--join=nazwa
Dołącz do piaskownicy identyfikowanej po nazwie. Domyślnie / bin / bash powłoka jest uruchamiana po
dołączenie do piaskownicy. Jeśli określono program, program jest uruchamiany w piaskownicy.
Jeśli polecenie --join zostanie wydane jako zwykły użytkownik, skonfigurowane zostaną wszystkie filtry bezpieczeństwa
dla nowego procesu są takie same, jak skonfigurowano w piaskownicy. Jeśli --join polecenie
jest wydawany jako root, filtry bezpieczeństwa, konfiguracje cgroup i cpus nie są
zastosowany do procesu dołączenia do piaskownicy.
Przykład:
$ firejail --name=moja gra --caps.drop=wszystkie warzone2100 &
[...]
$firejail --join=mojagra
--dołącz=pid
Dołącz do piaskownicy identyfikowanej poprzez identyfikator procesu. Domyślnie / bin / bash powłoka jest uruchomiona
po dołączeniu do piaskownicy. Jeśli określono program, program jest uruchamiany w pliku
piaskownica. Jeśli polecenie --join zostanie wydane jako zwykły użytkownik, wszystkie filtry bezpieczeństwa zostaną wykonane
skonfigurowane dla nowego procesu w ten sam sposób, w jaki są skonfigurowane w piaskownicy. Jeśli
--join polecenie jest wydawane jako root, filtry bezpieczeństwa, cgroups i cpus
konfiguracje nie są stosowane do procesu przyłączania się do piaskownicy.
Przykład:
$firejail --list
3272:netblue:firejail – prywatny Firefox
$firejail --join=3272
--join-filesystem=nazwa
Dołącz do przestrzeni nazw montowania piaskownicy identyfikowanej przez nazwę. Domyślnie / bin / bash
powłoka jest uruchamiana po dołączeniu do piaskownicy. Jeśli określono program, program
jest uruchamiany w piaskownicy. To polecenie jest dostępne tylko dla użytkownika root. Bezpieczeństwo
filtry, grupy cgroup i konfiguracje procesora nie są stosowane do procesu przyłączania się do
piaskownica.
--join-filesystem=pid
Dołącz do przestrzeni nazw montowania piaskownicy identyfikowanej przez identyfikator procesu. Domyślnie
/ bin / bash powłoka jest uruchamiana po dołączeniu do piaskownicy. Jeśli określono program,
program uruchamiany jest w piaskownicy. To polecenie jest dostępne tylko dla użytkownika root.
Filtry bezpieczeństwa, grupy cgroup i konfiguracje procesora nie są stosowane w procesie
dołączenie do piaskownicy.
--join-network=nazwa
Dołącz do sieciowej przestrzeni nazw piaskownicy identyfikowanej po nazwie. Domyślnie
/ bin / bash powłoka jest uruchamiana po dołączeniu do piaskownicy. Jeśli określono program,
program uruchamiany jest w piaskownicy. To polecenie jest dostępne tylko dla użytkownika root.
Filtry bezpieczeństwa, grupy cgroup i konfiguracje procesora nie są stosowane w procesie
dołączenie do piaskownicy.
--join-network=pid
Dołącz do sieciowej przestrzeni nazw piaskownicy identyfikowanej przez identyfikator procesu. Domyślnie
/ bin / bash powłoka jest uruchamiana po dołączeniu do piaskownicy. Jeśli określono program,
program uruchamiany jest w piaskownicy. To polecenie jest dostępne tylko dla użytkownika root.
Filtry bezpieczeństwa, grupy cgroup i konfiguracje procesora nie są stosowane w procesie
dołączenie do piaskownicy.
--lista Wymień wszystkie piaskownice, zobacz MONITOROWANIE sekcja po więcej szczegółów.
Przykład:
$firejail --list
7015:netblue:firejail firefox
7056:netblue:firejail --net=eth0 transmisja-gtk
7064:netblue:firejail --noroot xterm
$
--mac=adres
Przypisz adresy MAC do ostatniego interfejsu sieciowego zdefiniowanego opcją --net.
Przykład:
$ firejail --net=eth0 --mac=00:11:22:33:44:55 firefox
--mtu=liczba
Przypisz wartość MTU do ostatniego interfejsu sieciowego zdefiniowanego opcją --net.
Przykład:
$firejail --net=eth0 --mtu=1492
--nazwa=nazwa
Ustaw nazwę piaskownicy. Kilka opcji, takich jak --join i --shutdown, może używać tej nazwy
zidentyfikować piaskownicę.
Przykład:
$ firejail --name=mojaprzeglądarka Firefox
--net=interfejs_mostu
Włącz nową przestrzeń nazw sieci i podłącz ją do tego interfejsu mostu. Chyba że
określony z opcją --ip i --defaultgw, adresem IP i bramą domyślną
zostaną automatycznie przypisane do piaskownicy. Adres IP jest weryfikowany za pomocą protokołu ARP
przed przydziałem. Adres skonfigurowany jako brama domyślna to urządzenie mostkowe
Adres IP. Można zdefiniować maksymalnie cztery urządzenia mostkowe --net. Mostek mieszający i
urządzenia macvlan są dozwolone.
Przykład:
$ sudo brctl addbr br0
$ Sudo ifconfig br0 10.10.20.1/24
$ sudo brctl addbr br1
$ Sudo ifconfig br1 10.10.30.1/24
$ FireJail --net=br0 --net=br1
--net=interfejs_ethernetowy
Włącz nową przestrzeń nazw sieci i podłącz ją do tego interfejsu Ethernet za pomocą
standardowy sterownik macvlan dla systemu Linux. O ile nie określono opcji --ip i --defaultgw,
adres IP i brama domyślna zostaną automatycznie przypisane do piaskownicy.
Przed przypisaniem adres IP jest weryfikowany za pomocą protokołu ARP. Adres skonfigurowany jako
brama domyślna jest bramą domyślną hosta. Mogą być maksymalnie cztery urządzenia --net
zdefiniowany. Dozwolone jest mieszanie urządzeń Bridge i Macvlan.
Przykład:
$ Firejail --net=eth0 --ip=192.168.1.80 --dns=8.8.8.8 Firefox
--net=brak
Włącz nową, niepołączoną sieciową przestrzeń nazw. Jedyny interfejs dostępny w
nowa przestrzeń nazw to nowy interfejs pętli zwrotnej (lo). Użyj tej opcji, aby odmówić dostępu do sieci
dostęp do programów, które tak naprawdę nie wymagają dostępu do sieci.
Przykład:
$firejail --net=brak vlc
--filtr sieciowy
Włącz domyślny filtr sieci klienta w nowej przestrzeni nazw sieci. Nowa sieć
przestrzenie nazw są tworzone przy użyciu opcji --net. Jeśli nie ma nowych przestrzeni nazw sieciowych
utworzony, opcja --netfilter nic nie robi. Domyślny filtr jest następujący:
*filtr
: SPADEK WEJŚCIA [0:0]
:UPUST DO PRZODU [0:0]
:AKCEPTACJA WYJŚCIA [0:0]
-A WEJŚCIE -i lo -j AKCEPTUJĘ
-A WEJŚCIE -m stan --stan POWIĄZANE,USTALONE -j AKCEPTUJ
-A WEJŚCIE -p icmp --icmp-typ miejsca docelowego-nieosiągalny -j AKCEPTUJ
-A WEJŚCIE -p icmp --icmp-type przekroczono czas -j AKCEPTUJ
-A WEJŚCIE -p icmp --icmp-type echo-request -j AKCEPTUJ
POPEŁNIĆ
Przykład:
$firejail --net=eth0 --netfilter firefox
--netfilter=nazwa pliku
Włącz filtr sieciowy określony przez nazwę pliku w nowej sieciowej przestrzeni nazw. The
format pliku filtru to format poleceń iptables-save i iptable-restore.
Nowe sieciowe przestrzenie nazw tworzone są przy użyciu opcji --net. Jeśli nowe sieciowe przestrzenie nazw
nie zostanie utworzony, opcja --netfilter nic nie robi.
W katalogu /etc/firejail dostępne są następujące filtry:
serwer WWW.net to filtr serwera WWW, który umożliwia dostęp tylko do portów TCP 80 i
443. Przykład:
$ firejail --netfilter=/etc/firejail/webserver.net --net=eth0 \
/etc/init.d/apache2 początek
nolocal.net to filtr klienta, który blokuje dostęp do sieci lokalnej. Przykład:
$ firejail --netfilter=/etc/firejail/nolocal.net \
--net=eth0 Firefoksa
--netfilter6=nazwa pliku
Włącz filtr sieciowy IPv6 określony przez nazwę pliku w nowej sieciowej przestrzeni nazw.
Format pliku filtra to format ip6tables-save i ip6table-restore
polecenia. Nowe sieciowe przestrzenie nazw tworzone są przy użyciu opcji --net. Jeśli nowa sieć
przestrzenie nazw nie zostały utworzone, opcja --netfilter6 nic nie robi.
--netstats
Monitoruj statystyki przestrzeni nazw sieci, patrz MONITOROWANIE sekcja po więcej szczegółów.
Przykład:
$firejail --netstats
Użytkownik PID RX(KB/s) TX(KB/s) Polecenie
1294 netblue 53.355 1.473 firejail --net=eth0 firefox
7383 netblue 9.045 0.112 firejail --net=eth0 transmisja
--noblacklist=nazwa_katalogu lub nazwa_pliku
Wyłącz czarną listę dla tego katalogu lub pliku.
Przykład:
$ więzienie ogniowe
$nc dict.org 2628
grzmotnąć: /bin/nc: Odmowa pozwolenia
$ wyjdź
$firejail --noblacklist=/bin/nc
$nc dict.org 2628
220 pan.alephnull.com dictd 1.12.1/rf na Linuksie 3.14-1-amd64
--brak grup
Wyłącz grupy dodatkowe. Bez tej opcji włączone zostaną grupy dodatkowe
dla użytkownika uruchamiającego piaskownicę. Dla użytkownika root zawsze są dodatkowe grupy
niepełnosprawny.
Przykład:
$ identyfikator
uid=1000(netblue) gid=1000(netblue)
groups=1000(netblue),24(cdrom),25(floppy),27(sudo),29(audio)
$ firejail --brak grup
PID rodzica 8704, pid dziecka 8705
Zainicjowano proces potomny
$ identyfikator
uid=1000(netblue) gid=1000(netblue) grupy=1000(netblue)
$
--brak profilu
Nie używaj profilu zabezpieczeń.
Przykład:
$ więzienie ogniowe
Czytanie profilu /etc/firejail/generic.profile
PID rodzica 8553, pid dziecka 8554
Zainicjowano proces potomny
[...]
$firejail --noprofile
PID rodzica 8553, pid dziecka 8554
Zainicjowano proces potomny
[...]
--bez korzenia
Zainstaluj przestrzeń nazw użytkownika z jednym użytkownikiem — bieżącym użytkownikiem. użytkownik root nie
istnieją w nowej przestrzeni nazw. Ta opcja wymaga jądra Linux w wersji 3.8 lub
nowsza. Opcja nie jest obsługiwana w konfiguracjach --chroot i --overlay lub
dla piaskownic uruchomionych jako root.
Przykład:
$firejail --noroot
PID rodzica 8553, pid dziecka 8554
Zainicjowano proces potomny
$ pinguj google.com
ping: icmp otwarte gniazdo: operacja niedozwolona
$
--brak dźwięku
Wyłącz system dźwiękowy.
Przykład:
$ firejail -- nosound firefox
--output=plik dziennika
logowanie na stdout i rotacja dzienników. Skopiuj standardowe wyjście do pliku dziennika i zachowaj rozmiar pliku
plik mniejszy niż 500 KB przy użyciu rotacji dziennika. Używa się pięciu plików z przedrostkami od .1 do .5
obrót.
Przykład:
$ firejail --output=log piaskownicy / bin / bash
[...]
$ ls -l dziennik piaskownicy*
-rw-r--r-- 1 netblue netblue 333890 2 czerwca 07:48 sandboxlog
-rw-r--r-- 1 netblue netblue 511488 2 czerwca 07:48 sandboxlog.1
-rw-r--r-- 1 netblue netblue 511488 2 czerwca 07:48 sandboxlog.2
-rw-r--r-- 1 netblue netblue 511488 2 czerwca 07:48 sandboxlog.3
-rw-r--r-- 1 netblue netblue 511488 2 czerwca 07:48 sandboxlog.4
-rw-r--r-- 1 netblue netblue 511488 2 czerwca 07:48 sandboxlog.5
--narzuta
Zamontuj nakładkę systemu plików na bieżącym systemie plików. Cały system plików
modyfikacje trafiają do nakładki. Nakładka jest przechowywana w $HOME/.firejail
katalogiem.
Aby ta opcja działała, w jądrze Linuksa wymagana jest obsługa OverlayFS. NakładkaFS
został oficjalnie wprowadzony w jądrze Linuksa w wersji 3.18
Przykład:
$ firejail --nakładka na przeglądarkę Firefox
--nakładka-tmpfs
Zamontuj nakładkę systemu plików na bieżącym systemie plików. Cały system plików
modyfikacje trafiają do nakładki i są odrzucane po zamknięciu piaskownicy.
Aby ta opcja działała, w jądrze Linuksa wymagana jest obsługa OverlayFS. NakładkaFS
został oficjalnie wprowadzony w jądrze Linuksa w wersji 3.18
Przykład:
$firejail --overlay-tmpfs firefox
--prywatny
Zamontuj nowy / root i /home/user w tymczasowych systemach plików. Wszystko
modyfikacje są odrzucane po zamknięciu piaskownicy.
Przykład:
$firejail --prywatny Firefox
--private=katalog
Użyj katalogu jako domu użytkownika.
Przykład:
$firejail --private=/home/netblue/firefox-home firefox
--private-bin=plik,plik
Zbuduj nowy /kosz w tymczasowym systemie plików i skopiuj programy z listy. The
ten sam katalog jest również montowany przez powiązanie / sbin, / usr / bin i /usr/sbin.
Przykład:
$ firejail --private-bin=bash,sed,ls,cat
PID rodzica 20841, pid dziecka 20842
Zainicjowano proces potomny
$ls /kosz
bash cat ls sed
--prywatny deweloper
Stwórz nowy / dev informator. Tylko dri, null, full, zero, tty, pts, ptmx, losowe,
dostępne są urządzenia urandom, log i shm.
Przykład:
$ Firejail --private-dev
PID rodzica 9887, pid dziecka 9888
Zainicjowano proces potomny
$ls / dev
dri pełny log null ptmx pts losowy shm tty urandom zero
$
--private-etc=plik,katalog
Zbuduj nowy / Etc w tymczasowym systemie plików i skopiuj do niego pliki i katalogi
Lista. Wszystkie modyfikacje są odrzucane po zamknięciu piaskownicy.
Przykład:
$ firejail --private-etc=grupa, nazwa hosta, czas lokalny, \
nsswitch.conf, passwd, resolv.conf
--prywatny-tmp
Zamontuj pusty tymczasowy system plików na wierzchu / Tmp katalogiem.
Przykład:
$ Firejail --private-tmp
--profile=nazwa pliku
Załaduj niestandardowy profil zabezpieczeń z nazwy pliku. Jako nazwę pliku użyj ścieżki bezwzględnej lub
ścieżkę względem bieżącej ścieżki. Aby uzyskać więcej informacji, zobacz BEZPIECZEŃSTWO PROFILE
sekcja poniżej.
Przykład:
$firejail --profile=mójprofil
--profile-path=katalog
Użyj tego katalogu, aby wyszukać pliki profili. Użyj ścieżki bezwzględnej lub ścieżki w pliku
katalog domowy zaczynający się od ~ /. Aby uzyskać więcej informacji, zobacz BEZPIECZEŃSTWO PROFILE
sekcja poniżej i PRZEPROWADZKA PROFIL AKTA in mężczyzna 5 profil Firejail.
Przykład:
$ firejail --ścieżka-profilu=~/mojeprofile
$firejail --profile-path=/home/netblue/myprofiles
--protocol=protokół,protokół,protokół
Włącz filtr protokołu. Filtr opiera się na seccomp i sprawdza pierwszy
argument wywołania systemowego gniazda. Rozpoznawane wartości: unix, inet, inet6, netlink i
paczka.
Przykład:
$ straż pożarna --protocol=unix,inet,inet6 firefox
--protocol.print=nazwa
Wydrukuj filtr protokołu dla piaskownicy identyfikowanej według nazwy.
Przykład:
$ firejail --name=mojaprzeglądarka Firefox &
[...]
$ firejail --print.print=mojaprzeglądarka
unix, inet, inet6, netlink
--protocol.print=pid
Wydrukuj filtr protokołu dla piaskownicy identyfikowanej przez PID.
Przykład:
$firejail --list
3272:netblue:firejail – prywatny Firefox
$ Firejail --protocol.print=3272
unix, inet, inet6, netlink
--cichy
Wyłącz wyjście Firejail.
--read-only=nazwa_katalogu lub nazwa_pliku
Ustaw katalog lub plik jako tylko do odczytu.
Przykład:
$ Firejail --tylko do odczytu=~ / .mozilla firefox
--rlimit-fsize=liczba
Ustaw maksymalny rozmiar pliku, który może zostać utworzony przez proces.
--rlimit-nofile=liczba
Ustaw maksymalną liczbę plików, które proces może otworzyć.
--rlimit-nproc=liczba
Ustaw maksymalną liczbę procesów, które można utworzyć dla rzeczywistego identyfikatora użytkownika
proces wywoływania.
--rlimit-sigpending=liczba
Ustaw maksymalną liczbę oczekujących sygnałów dla procesu.
--skanowanie Skanowanie ARP wszystkich sieci z przestrzeni nazw sieci. Dzięki temu jest to możliwe
w celu wykrycia sterowników urządzeń jądra macvlan działających na bieżącym hoście.
Przykład:
$firejail --net=eth0 --scan
--seckomp
Włącz filtr seccomp i umieść na czarnej liście wywołania systemowe na liście domyślnej. Domyślny
lista wygląda następująco: mount, umount2, ptrace, kexec_load, kexec_file_load,
open_by_handle_at, init_module, finit_module, usuń_module, iopl, ioperm, swapon,
swapoff, syslog, Process_vm_readv, Process_vm_writev, sysfs,_sysctl, adjtimex,
clock_adjtime, lookup_dcookie, perf_event_open, fanotify_init, kcmp, add_key,
request_key, keyctl, uselib, acct, modyfikacji_ldt, obrót_root, io_setup, io_destroy,
io_getevents, io_submit, io_cancel, remap_file_pages, mbind, get_mempolicy,
set_mempolicy, migracja_stron, move_pages, vmsplice, perf_event_open i chroot.
Przykład:
$firejail --seccomp
--seccomp=wywołanie systemowe, wywołanie systemowe, wywołanie systemowe
Włącz filtr seccomp, umieść na czarnej liście listę domyślną i wywołania systemowe określone przez
dowództwo.
Przykład:
$ firejail --seccomp=utime,utimensat,utimes firefox
--seccomp.drop=wywołanie systemowe, wywołanie systemowe, wywołanie systemowe
Włącz filtr seccomp i umieść na czarnej liście wywołania systemowe określone przez polecenie.
Przykład:
$ firejail --seccomp.drop=utime,utimensat,utimes
--seccomp.keep=wywołanie systemowe, wywołanie systemowe, wywołanie systemowe
Włącz filtr seccomp i dodaj do białej listy wywołania systemowe określone przez polecenie.
Przykład:
$ firejail --shell=none --seccomp.keep=ankieta,wybierz,[...] transmisja-gtk
--seckomp. = wywołanie systemowe, wywołanie systemowe, wywołanie systemowe
Włącz filtr seccomp i zwróć errno dla wywołań systemowych określonych przez polecenie.
Przykład: powłoka Bash, w której usuwanie plików jest wyłączone
$ firejail --seccomp.eperm=unlinkat
PID rodzica 10662, pid dziecka 10663
Zainicjowano proces potomny
$ plik testowy dotyku
$ rm plik testowy
rm: nie można usunąć pliku testowego: Operacja niedozwolona
--seccomp.print=nazwa
Wydrukuj filtr seccomp dla piaskownicy uruchomiony za pomocą opcji --name.
Przykład:
$ firejail --name=przeglądarka Firefox &
$ firejail --seccomp.print=przeglądarka
Filtr SECCOMP:
VALIDATE_ARCHITEKTURA
BADANIE_SYSCALL
Mocowanie BLACKLIST 165
CZARNA LISTA 166 umount2
CZARNA LISTA 101 pkt
CZARNA LISTA 246 kexec_load
CZARNA LISTA 304 open_by_handle_at
CZARNA LISTA 175 init_module
CZARNA LISTA 176 moduł usuwania
CZARNA LISTA 172 iopl
CZARNA LISTA 173 ioperm
CZARNA LISTA 167 zamiana
BLACKLISTA 168 zamiana
Czarna lista 103 syslog
CZARNA LISTA 310 process_vm_readv
CZARNA LISTA 311 process_vm_writev
CZARNA LISTA 133 mknod
Czarna lista 139 sysfs
CZARNA LISTA 156 _sysctl
CZARNA LISTA 159 adjtimex
CZARNA LISTA 305 clock_adjtime
CZARNA LISTA 212 lookup_dcookie
CZARNA LISTA 298 perf_event_open
CZARNA LISTA 300 fanotify_init
RETURN_ALLOW
$
--seccomp.print=pid
Wydrukuj filtr seccomp dla piaskownicy określonej przez identyfikator procesu. Użyj opcji --list
aby uzyskać listę wszystkich aktywnych piaskownic.
Przykład:
$firejail --list
10786:netblue:firejail --name=przeglądarka firefox $ firejail --seccomp.print=10786
Filtr SECCOMP:
VALIDATE_ARCHITEKTURA
BADANIE_SYSCAL
Mocowanie BLACKLIST 165
CZARNA LISTA 166 umount2
CZARNA LISTA 101 pkt
CZARNA LISTA 246 kexec_load
CZARNA LISTA 304 open_by_handle_at
CZARNA LISTA 175 init_module
CZARNA LISTA 176 moduł usuwania
CZARNA LISTA 172 iopl
CZARNA LISTA 173 ioperm
CZARNA LISTA 167 zamiana
BLACKLISTA 168 zamiana
Czarna lista 103 syslog
CZARNA LISTA 310 process_vm_readv
CZARNA LISTA 311 process_vm_writev
CZARNA LISTA 133 mknod
Czarna lista 139 sysfs
CZARNA LISTA 156 _sysctl
CZARNA LISTA 159 adjtimex
CZARNA LISTA 305 clock_adjtime
CZARNA LISTA 212 lookup_dcookie
CZARNA LISTA 298 perf_event_open
CZARNA LISTA 300 fanotify_init
RETURN_ALLOW
$
--powłoka=brak
Uruchom program bezpośrednio, bez powłoki użytkownika.
Przykład:
$ firejail --shell=none script.sh
--powłoka=program
Ustaw domyślną powłokę użytkownika. Użyj tej powłoki, aby uruchomić aplikację za pomocą -c powłoki
opcja. Na przykład „firejail --shell=/bin/myślnik Firefox” uruchomi Mozillę
Firefoksa jako „/bin/myślnik -c firefox". Domyślnie powłoka Bash (/ bin / bash) jest używany.
Opcje takie jak --zsh i --csh mogą również ustawić domyślną powłokę.
Przykład: $firejail --shell=/bin/myślnik skrypt.sh
--shutdown=nazwa
Rozpoczęto zamykanie piaskownicy przy użyciu opcji --name.
Przykład:
$ firejail --name=moja gra --caps.drop=wszystkie warzone2100 &
[...]
$ firejail --shutdown=mojagra
--wyłączenie=pid
Zamknij piaskownicę określoną przez identyfikator procesu. Użyj opcji --list, aby uzyskać listę
wszystkie aktywne piaskownice.
Przykład:
$firejail --list
3272:netblue:firejail – prywatny Firefox
$firejail --shutdown=3272
--tmpfs=nazwa katalogu
Zamontuj system plików tmpfs w katalogu nazwa_katalogu. Ta opcja jest dostępna tylko wtedy, gdy
uruchamianie piaskownicy jako root.
Przykład:
# FireJail --tmpfs=/ var
--szczyt Monitoruj piaskownice najbardziej obciążające procesor, zobacz MONITOROWANIE sekcja po więcej szczegółów.
Przykład:
$ FireJail – góra
--namierzać
Śledź otwieranie, uzyskuj dostęp i łącz wywołania systemowe.
Przykład:
$ firejail --trace wget -q www.debian.org
PID rodzica 11793, pid dziecka 11794
Zainicjowano proces potomny
1:bash:otwórz /dev/tty
1: wget: fopen64 /etc/wgetrc
1:wget:fopen / Etc / hosts
1:wget:socket AF_INET SOCK_DGRAM IPPROTO_IP
1:wget:połącz 8.8.8.8:53
1:wget:socket AF_INET SOCK_STREAM IPPROTO_IP
1:wget:połącz 140.211.15.34:80
1:wget:fopen64 indeks.html.1
rodzic się zamyka, pa...
--log śladu
Ta opcja umożliwia kontrolę plików i katalogów znajdujących się na czarnej liście. Wiadomość została wysłana
do syslog w przypadku dostępu do pliku lub katalogu.
Przykład:
$firejail --tracelog firefox
Przykładowe wiadomości:
$ sudo ogon -f / var / log / syslog
[...]
3 grudnia 11:43:25 debian firejail[70]: naruszenie czarnej listy - sandbox 26370, exe
Firefox, wywołanie systemowe open64, ścieżka / etc / shadow
3 grudnia 11:46:17 debian firejail[70]: naruszenie czarnej listy - sandbox 26370, exe
Firefox, wywołanie systemowe, otwarty katalog, ścieżka /bagażnik
[...]
--drzewo Wydrukuj drzewo wszystkich procesów w piaskownicy, zobacz MONITOROWANIE sekcja po więcej szczegółów.
Przykład:
$ FireJail --drzewo
11903:netblue:Iceweasel Firejail
11904:netblue:iceweasel
11957:netblue:/usr/lib/iceweasel/kontener-wtyczek
11969:netblue:firejail --net=eth0 transmisja-gtk
11970:netblue:transmisja-gtk
--user=nowy-użytkownik
Zmień użytkownika przed uruchomieniem piaskownicy. To polecenie należy uruchomić jako root.
Przykład:
# Firejail --user=www-data
--wersja
Wydrukuj wersję programu i wyjdź.
Przykład:
$firejail --wersja
wersja FireJaila 0.9.27
--whitelist=nazwa_katalogu lub nazwa_pliku
Dodaj katalog lub plik do białej listy. Ta funkcja jest zaimplementowana tylko dla użytkownika domowego, / dev,
/głoska bezdźwięczna, / opt, / var, / Tmp katalogi.
Przykład:
$firejail --biała lista=~ / .mozilla --biała lista=~ / Pliki do pobrania
$firejail --biała lista=/tmp/.X11-unix --biała lista=/dev/null
$ firejail "--whitelist=/home/nazwa użytkownika/Moje maszyny wirtualne"
--zsz Użyj /usr/bin/zsh jako domyślnej powłoki użytkownika.
Przykład:
$ FireJail --zsh
RUCH DROGOWY MODELACJA
Przepustowość sieci jest kosztownym zasobem współdzielonym przez wszystkie piaskownice działające w systemie.
Kształtowanie ruchu pozwala użytkownikowi zwiększyć wydajność sieci poprzez kontrolę jego ilości
danych wpływających do i z piaskownic.
Firejail implementuje prosty moduł kształtujący ograniczający szybkość transmisji oparty na poleceniu Linux tc. Kształtujący
działa na poziomie piaskownicy i można go używać tylko w przypadku piaskownic skonfigurowanych z nową siecią
przestrzenie nazw.
Ustaw limity stawek:
firejail --bandwidth={name|pid} ustaw przesyłanie plików do pobrania przez sieć
Jasne limity stawek:
firejail --bandwidth={name|pid} wyczyść sieć
Status:
stan Firejail --bandwidth={name|pid}
gdzie:
nazwa - nazwa piaskownicy
pid – pid piaskownicy
sieć - interfejs sieciowy używany przez opcję --net
download - prędkość pobierania w KB/s (kilobajtach na sekundę)
upload - prędkość wysyłania w KB/s (kilobajtach na sekundę)
Przykład:
$ firejail --name=mojaprzeglądarka --net=eth0 firefox &
$ firejail --bandwidth=mojaprzeglądarka ustawiona na eth0 80 20
$ firejail --bandwidth=stan mojej przeglądarki
$ firejail --bandwidth=mojaprzeglądarka wyczyść eth0
MONITOROWANIE
Opcja --list wyświetla listę wszystkich piaskownic. Format każdego wpisu procesu jest następujący
następuje:
PID:USER:Polecenie
Opcja --tree wyświetla drzewo procesów działających w piaskownicy. Format dla każdego
wpis procesu wygląda następująco:
PID:USER:Polecenie
Opcja --top jest podobna do polecenia top w systemie UNIX, jednak ma zastosowanie tylko do piaskownic.
Opcja --netstats wyświetla statystyki sieci dla aktywnych piaskownic instalujących nową sieć
przestrzenie nazw.
Poniżej wymieniono dostępne pola (kolumny) w kolejności alfabetycznej dla opcji --top i
--netstat opcje:
Command
Polecenie użyte do uruchomienia piaskownicy.
CPU% Użycie procesora, udział piaskownicy w czasie procesora, który upłynął od ostatniej aktualizacji ekranu
PID Unikalny identyfikator procesu dla zadania sterującego piaskownicą.
Prcs Liczba procesów uruchomionych w piaskownicy, łącznie z procesem kontrolnym.
Rozmiar pamięci rezydentnej RES (KiB), niewymieniana pamięć fizyczna piaskownicy. Jest to suma
wartości RES dla wszystkich procesów działających w piaskownicy.
Odbiór (KB/s)
Prędkość odbioru sieci.
Rozmiar pamięci współdzielonej SHR (KiB) odzwierciedla pamięć współdzieloną z innymi procesami. To jest
suma wartości SHR dla wszystkich procesów działających w piaskownicy, w tym
proces kontrolowania.
TX(KB/s)
Szybkość transmisji sieci.
Uptime Czas działania piaskownicy w formacie godziny: minuty: sekundy.
Użytkownik Właściciel piaskownicy.
BEZPIECZEŃSTWO PROFILE
Za pomocą plików profili można przekazać do programu kilka opcji wiersza poleceń. Ogniste więzienie
wybiera plik profilu w następujący sposób:
1. Jeśli użytkownik udostępnił plik profilu z opcją --profile, plik profilu zostanie
załadowany. Przykład:
$ firejail --profile=/home/netblue/icecat.profile icecat
Czytanie profilu /home/netblue/icecat.profile
[...]
2. Jeśli istnieje plik profilu o tej samej nazwie co aplikacja
~/.config/firejail katalogu lub w /etc/firejail, profil jest ładowany.
~/.config/firejail ma pierwszeństwo przed /etc/firejail. Przykład:
$ FireJail Icecat
Nazwa polecenia #icecat#
Znaleziono profil icecat w katalogu /home/netblue/.config/firejail
Czytanie profilu /home/netblue/.config/firejail/icecat.profile
[...]
3. Użyj pliku default.profile, jeśli piaskownica jest uruchamiana przez zwykłego użytkownika, lub pliku server.profile
plik, jeśli piaskownica jest uruchamiana przez roota. Firejail szuka tych plików w
~/.config/firejail katalog, po którym następuje katalog /etc/firejail. Aby wyłączyć opcję domyślną
ładowanie profilu, użyj opcji polecenia --noprofile. Przykład:
$ więzienie ogniowe
Czytanie profilu /etc/firejail/generic.profile
PID rodzica 8553, pid dziecka 8554
Zainicjowano proces potomny
[...]
$firejail --noprofile
PID rodzica 8553, pid dziecka 8554
Zainicjowano proces potomny
[...]
Zobacz man 5 Firejail-profile, aby uzyskać informacje o składni pliku profilu.
OGRANICZONY SHELL
Aby skonfigurować ograniczoną powłokę, zamień / bin / bash z /usr/bin/firejail w /etc/password
dla każdego użytkownika, którego należy ograniczyć. Alternatywnie możesz określić
/usr/bin/firejail w poleceniu adduser:
adduser --shell /usr/bin/firejail nazwa użytkownika
Dodatkowe argumenty przekazywane do pliku wykonywalnego Firejail podczas logowania są deklarowane w
plik /etc/firejail/login.users.
PRZYKŁADY
więzienie ogniowe
Zacznij regularnie / bin / bash sesja w piaskownicy.
FireJail Firefoks
Uruchom przeglądarkę Mozilla Firefox.
Firejail – debugowanie Firefoksa
Debuguj piaskownicę Firefoksa.
FireJail – prywatny
Początek / bin / bash sesję z nowym katalogiem domowym tmpfs.
Firejail --net=br0 ip=10.10.20.10
Początek / bin / bash sesję w nowej sieciowej przestrzeni nazw. Sesja jest połączona z
sieć główna za pomocą urządzenia mostkowego br0. Przypisany jest adres IP 10.10.20.10
do piaskownicy.
Firejail --net=br0 --net=br1 --net=br2
Początek / bin / bash sesję w nowej przestrzeni nazw sieciowych i podłącz ją do br0, br1,
i mosty hosta br2.
FireJail --lista
Lista wszystkich procesów w piaskownicy.
Korzystaj z Firejail online, korzystając z usług onworks.net
