هذا هو الأمر firejail الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
Firejail - برنامج رمل لمساحات أسماء Linux
موجز
ابدأ وضع الحماية:
firejail [الخيارات] [البرنامج والحجج]
تشكيل حركة مرور الشبكة لوضع الحماية الحالي:
firejail - النطاق الترددي = { | } أمر عرض النطاق الترددي
رصد:
firejail {- قائمة | - netstats | --أعلى | --شجرة}
منوعات:
فايرجيل {-؟ | - قبعات ديبوغ | --debug-Ernos | --debug-syscalls | - بروتوكولات الشطب
| --مساعدة | --إصدار}
الوصف
Firejail هو برنامج SUID sandbox يقلل من مخاطر الخروقات الأمنية بواسطة
تقييد بيئة تشغيل التطبيقات غير الموثوق بها باستخدام مساحات أسماء Linux ،
سيكومب - بي بي إف وإمكانيات لينوكس. يسمح للعملية وجميع أحفادها
وجهة نظرهم الخاصة لموارد kernel المشتركة عالميًا ، مثل مكدس الشبكة ،
جدول العملية ، جبل الجدول. يمكن أن يعمل Firejail في بيئة SELinux أو AppArmor ، و
تم دمجه مع مجموعات التحكم Linux.
مكتوب بلغة C مع عدم وجود أي تبعيات تقريبًا ، يعمل البرنامج على أي جهاز كمبيوتر يعمل بنظام Linux
إصدار نواة 3.x أو أحدث. يمكنه وضع الحماية لأي نوع من العمليات: الخوادم والرسوم البيانية
التطبيقات ، وحتى جلسات تسجيل دخول المستخدم.
يسمح Firejail للمستخدم بإدارة أمان التطبيق باستخدام ملفات تعريف الأمان. كل
يحدد ملف التعريف مجموعة من الأذونات لتطبيق معين أو مجموعة من التطبيقات.
يشتمل البرنامج على ملفات تعريف أمان لعدد من برامج Linux الأكثر شيوعًا ، مثل
مثل Mozilla Firefox و Chromium و VLC والإرسال وما إلى ذلك.
الاستعمال
بدون أي خيارات ، يتكون صندوق الحماية من نظام ملفات chroot مبني في جبل جديد
مساحة الاسم ومساحات الأسماء الجديدة PID و UTS. يمكن إضافة مساحات أسماء IPC والشبكة والمستخدمين
باستخدام خيارات سطر الأوامر. يعتمد نظام ملفات Firejail الافتراضي على المضيف
نظام ملفات مع الدلائل الرئيسية مثبتة للقراءة فقط. فقط / الرئيسية / تمة قابلة للكتابة.
عند بدء التشغيل ، يحاول Firejail العثور على ملف تعريف أمان استنادًا إلى اسم ملف
تطبيق. إذا لم يتم العثور على ملف تعريف مناسب ، فسيستخدم Firejail ملف تعريف افتراضي.
ملف التعريف الافتراضي مقيد للغاية. في حالة عدم عمل التطبيق ، استخدم
- خيار noprofile لتعطيله. لمزيد من المعلومات ، يرجى الاطلاع الأمن مظهر
والقسم الخاص به.
إذا لم يتم تحديد وسيطة برنامج ، فسيبدأ Firejail / بن / باش صدفة. أمثلة:
$ firejail [OPTIONS] # يبدأ أ / بن / باش قذيفة
$ firejail [OPTIONS] firefox # يبدأ تشغيل Mozilla Firefox
# sudo firejail [خيارات] /etc/init.d/nginx start
OPTIONS
-- قم بالإشارة إلى نهاية الخيارات وتعطيل معالجة الخيارات الإضافية.
- عرض النطاق = الاسم
تعيين حدود النطاق الترددي لوضع الحماية المحدد بالاسم ، انظر حركة المرور تشكيل
القسم لمزيد من التفاصيل.
- عرض النطاق الترددي = pid
تعيين حدود النطاق الترددي لوضع الحماية المحدد بواسطة PID ، راجع حركة المرور تشكيل قسم
لمزيد من التفاصيل.
- ربط = dirname1 ، dirname2
جبل ربط dirname1 أعلى dirname2. هذا الخيار متاح فقط عند التشغيل
الصندوق الرمل كجذر.
على سبيل المثال:
# firejail --bind = / config / www ،/ فار / على شبكة الاتصالات العالمية
- ربط = اسم الملف 1 ، اسم الملف 2
Mount-bind filename1 أعلى اسم الملف 2. هذا الخيار متاح فقط عندما
يعمل كجذر.
على سبيل المثال:
# firejail --bind = / config / etc / passwd،/ الخ / باسود
--blacklist = dirname_or_filename
دليل أو ملف القائمة السوداء.
على سبيل المثال:
$ firejail - القائمة السوداء =/ sbin - القائمة السوداء =/ usr / sbin
$ firejail - القائمة السوداء =~ / .mozilla
$ firejail "--blacklist = / home / username / My Virtual Machines"
-c نفذ الأمر واخرج.
--قبعات قدرات Linux هي ميزة kernel مصممة لتقسيم امتياز الجذر إلى
مجموعة من الامتيازات المميزة. يمكن تمكين هذه الامتيازات أو تعطيلها
بشكل مستقل ، وبالتالي تقييد ما يمكن أن تفعله العملية التي تعمل كجذر في ملف
نظام.
بشكل افتراضي ، يتم تشغيل برامج الجذر مع تمكين جميع الإمكانات. --caps الخيار تعطيل
القدرات التالية: CAP_SYS_MODULE ، CAP_SYS_RAWIO ، CAP_SYS_BOOT ،
CAP_SYS_NICE ، CAP_SYS_TTY_CONFIG ، CAP_SYSLOG ، CAP_MKNOD ، CAP_SYS_ADMIN. مرشح
يتم تطبيقه على جميع العمليات التي بدأت في وضع الحماية.
على سبيل المثال:
$ sudo firejail --caps "/etc/init.d/nginx start && sleep inf"
--caps.drop = الكل
قم بإسقاط جميع إمكانيات العمليات الجارية في آلية تحديد الصلاحيات. هذا الخيار هو
موصى به لتشغيل برامج واجهة المستخدم الرسومية أو أي برنامج آخر لا يتطلب الجذر
الامتيازات. إنه خيار لا بد منه لوضع الحماية للبرامج غير الموثوقة المثبتة
من مصادر غير رسمية - مثل الألعاب وبرامج Java وما إلى ذلك.
على سبيل المثال:
$ firejail --caps.drop = all warzone2100
--caps.drop = القدرة والإمكانيات والقدرة
تحديد عامل تصفية إمكانات Linux للقائمة السوداء المخصصة.
على سبيل المثال:
firejail $ --caps.keep = net_broadcast ، net_admin ، net_raw
--caps.keep = القدرة ، القدرة ، القدرة
حدد مرشح القائمة البيضاء المخصص لقدرات Linux.
على سبيل المثال:
$ sudo firejail --caps.keep = chown، net_bind_service، setgid، \ setuid
/etc/init.d/nginx ابدأ
ملاحظة قصيرة حول الخلط بين خيارات القائمة البيضاء و - للقراءة فقط. مدرج في القائمة البيضاء
يجب جعل الدلائل للقراءة فقط بشكل مستقل. جعل دليل أصل للقراءة-
فقط ، لن تجعل القائمة البيضاء للقراءة فقط. مثال:
$ firejail - القائمة البيضاء =~ / العمل - للقراءة فقط = ~ / - للقراءة فقط =~ / العمل
--caps.print = الاسم
اطبع مرشح القبعات الخاص بصندوق الحماية المحدد بالاسم.
على سبيل المثال:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --caps.print = mygame
--caps.print = pid
اطبع مرشح القبعات الخاص بصندوق الحماية المحدد بواسطة PID.
على سبيل المثال:
$ firejail - قائمة
3272: netblue: firejail - فَيَرفُكس خاص
$ firejail --caps.print = 3272
--cgroup = ملف المهام
ضع صندوق الحماية في مجموعة التحكم المحددة. ملف المهام هو المسار الكامل لـ
ملف مهام cgroup.
على سبيل المثال:
# firejail --cgroup = / sys / fs / cgroup / g1 / مهام
--chroot = dirname
قم بتجذير صندوق الحماية في نظام ملفات جذري. إذا تم تشغيل Sandbox بشكل منتظم
المستخدم ، يتم تمكين عوامل التصفية الافتراضية seccomp والقدرات.
على سبيل المثال:
$ firejail --chroot = / media / ubuntu warzone2100
- CPU = رقم وحدة المعالجة المركزية ، رقم وحدة المعالجة المركزية ، رقم وحدة المعالجة المركزية
تعيين تقارب وحدة المعالجة المركزية.
على سبيل المثال:
فايرجيل دولار - وحدة المعالجة المركزية = 0,1،XNUMX فرملة اليد
--csh استخدم / bin / csh كصدفة للمستخدم الافتراضي.
على سبيل المثال:
$ فايرجيل --csh
--Debug
طباعة رسائل التصحيح.
على سبيل المثال:
$ firejail - تصحيح فايرفوكس
--Debug-Blacklists
تصحيح الأخطاء في القائمة السوداء.
على سبيل المثال:
$ firejail --debug-blacklists فايرفوكس
- قبعات الشد
اطبع جميع الإمكانات المعترف بها في بناء برنامج Firejail الحالي واخرج منه.
على سبيل المثال:
$ firejail - قبعات الشراب
--debug-check-filename
فحص اسم الملف التصحيح.
على سبيل المثال:
$ firejail --debug-check-filename Firefox
--Debug-Ernos
اطبع جميع أرقام الأخطاء التي تم التعرف عليها في إصدار برنامج Firejail الحالي واخرج منه.
على سبيل المثال:
$ فايرجيل --debug-errnos
- بروتوكولات الشطب
اطبع جميع البروتوكولات المعترف بها في بناء برنامج Firejail الحالي واخرج منه.
على سبيل المثال:
$ firejail - بروتوكولات الشطب
--debug-syscalls
اطبع جميع مكالمات النظام التي تم التعرف عليها في بناء برنامج Firejail الحالي واخرج منه.
على سبيل المثال:
$ firejail --debug-syscalls
--debug-whitelsts
تصحيح الأخطاء في القائمة البيضاء.
على سبيل المثال:
$ firejail - القائمة البيضاء Debug لمتصفح Firefox
--defaultgw = العنوان
استخدم هذا العنوان كبوابة افتراضية في مساحة اسم الشبكة الجديدة.
على سبيل المثال:
$ firejail --net = eth0 --defaultgw = 10.10.20.1 Firefox
--dns = العنوان
قم بتعيين خادم DNS لوضع الحماية. يمكن تحديد ما يصل إلى ثلاثة خوادم DNS. استخدم هذا
الخيار إذا كنت لا تثق في إعداد DNS على شبكتك.
على سبيل المثال:
$ firejail --dns = 8.8.8.8 --dns = 8.8.4.4 Firefox
--dns.print = الاسم
اطبع تكوين DNS لوضع الحماية المحدد بالاسم.
على سبيل المثال:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --dns.print = mygame
--dns.print = pid
اطبع تكوين DNS لوضع الحماية المحدد بواسطة PID.
على سبيل المثال:
$ firejail - قائمة
3272: netblue: firejail - فَيَرفُكس خاص
firejail $ --dns.print = 3272
--env = الاسم = القيمة
اضبط متغير البيئة في وضع الحماية الجديد.
على سبيل المثال:
$ firejail --env = LD_LIBRARY_PATH = / opt / test / lib
--فرض
بشكل افتراضي ، إذا تم تشغيل Firejail في وضع الحماية الحالي ، فسيتم تشغيل البرنامج
في قذيفة باش. يقوم هذا الخيار بتعطيل هذا السلوك ويحاول البدء
Firejail في رمل موجود. قد يكون هناك الكثير من الأسباب لفشلها ،
على سبيل المثال إذا عطلت آلية تحديد الوصول الحالية إمكانات المسؤول أو ثنائيات SUID أو
إذا كان يعمل seccomp.
- fs.print = الاسم
اطبع سجل نظام الملفات الخاص بوضع الحماية المحدد بالاسم.
على سبيل المثال:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --fs.print = mygame
- fs.print = pid
اطبع سجل نظام الملفات الخاص بوضع الحماية المحدد بواسطة PID.
على سبيل المثال:
$ firejail - قائمة
3272: netblue: firejail - فَيَرفُكس خاص
firejail دولار - fs.print = 3272
-?, --مساعدة
خيارات الطباعة إنهاء الخروج.
- اسم المضيف = الاسم
تعيين اسم مضيف آلية تحديد الوصول.
على سبيل المثال:
$ firejail --hostname = officepc Firefox
- إغفال = الأمر
تجاهل الأمر في ملف التعريف.
على سبيل المثال:
$ firejail --ignore = shell --ignore = seccomp firefox
- الواجهة = الواجهة
نقل الواجهة في مساحة اسم شبكة جديدة. يمكن أن تصل إلى أربعة خيارات للواجهة
محدد.
على سبيل المثال:
$ firejail --interface = eth1 --interface = eth0.vlan100
--ip = العنوان
قم بتعيين عناوين IP لواجهة الشبكة الأخيرة المحددة بواسطة خيار --net. أ
يتم تعيين العبارة الافتراضية بشكل افتراضي.
على سبيل المثال:
$ firejail --net = eth0 --ip = 10.10.20.56 Firefox
--ip = لا شيء
لم يتم تكوين عنوان IP ولا توجد بوابة افتراضية للواجهة الأخيرة المحددة
بواسطة خيار - net. استخدم هذا الخيار في حال كنت تنوي بدء DHCP خارجي
العميل في الصندوق الرمل.
على سبيل المثال:
$ firejail --net = eth0 --ip = لا شيء
--ip6 = العنوان
قم بتعيين عناوين IPv6 إلى واجهة الشبكة الأخيرة المحددة بواسطة خيار --net.
على سبيل المثال:
$ firejail --net=eth0 --ip6=2001:0db8:0:f101::1/64 firefox
--iprange = العنوان ، العنوان
قم بتعيين عنوان IP في النطاق المتوفر لآخر واجهة شبكة تم تحديدها بواسطة
أ - خيار صافي. يتم تعيين العبارة الافتراضية بشكل افتراضي.
على سبيل المثال:
$ firejail --net = eth0 --iprange = 192.168.1.100,192.168.1.150،XNUMX
--ipc- مساحة الاسم
قم بتمكين مساحة اسم IPC جديدة إذا بدأ وضع الحماية كمستخدم عادي. IPC
يتم تمكين مساحة الاسم افتراضيًا لأنظمة الحماية التي تبدأ كجذر.
على سبيل المثال:
$ firejail - مساحة الأسماء ipc فايرفوكس
- الانضمام = الاسم
انضم إلى صندوق الحماية المحدد بالاسم. بشكل افتراضي / بن / باش بدأت قذيفة بعد ذلك
الانضمام إلى الصندوق الرمل. إذا تم تحديد برنامج ، فسيتم تشغيل البرنامج في آلية تحديد الصلاحيات.
إذا تم إصدار الأمر --join كمستخدم عادي ، فسيتم تكوين جميع عوامل تصفية الأمان
للعملية الجديدة نفسها التي تم تكوينها في آلية تحديد الوصول. إذا - انضم إلى الأمر
تم إصداره كجذر ، ولم يتم إصدار عوامل تصفية الأمان وتكوينات cgroups و cpus
المطبقة على عملية الانضمام إلى الصندوق الرمل.
على سبيل المثال:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --join = mygame
- الانضمام = pid
انضم إلى آلية تحديد الوصول التي تم تحديدها بواسطة معرف العملية. بشكل افتراضي / بن / باش بدأت قذيفة
بعد الانضمام إلى الصندوق الرمل. إذا تم تحديد برنامج ، فسيتم تشغيل البرنامج بتنسيق
صندوق الرمل. إذا تم إصدار الأمر --join كمستخدم عادي ، فسيتم إصدار جميع عوامل تصفية الأمان
تمت تهيئتها للعملية الجديدة بنفس تهيئتها في آلية تحديد الصلاحيات. لو
- يتم إصدار أمر الانضمام كجذر ، ومرشحات الأمان ، ومجموعات cgroup و cpus
لا يتم تطبيق التكوينات على عملية الانضمام إلى آلية تحديد الوصول.
على سبيل المثال:
$ firejail - قائمة
3272: netblue: firejail - فَيَرفُكس خاص
فايرجيل دولار - انضم = 3272
- الانضمام إلى نظام الملفات = الاسم
انضم إلى مساحة اسم التحميل الخاصة بصندوق الحماية المحدد بالاسم. بشكل افتراضي / بن / باش
بدأ shell بعد الانضمام إلى الصندوق الرمل. إذا تم تحديد برنامج ، البرنامج
يتم تشغيله في الصندوق الرمل. هذا الأمر متاح فقط للمستخدم الجذر. حماية
لا يتم تطبيق تكوينات عوامل التصفية ومجموعات cpus و cpus على عملية الانضمام إلى
رمل.
--join-filesystem = pid
انضم إلى مساحة اسم التحميل الخاصة بـ sandbox التي تم تحديدها بواسطة معرف العملية. بشكل افتراضي
/ بن / باش بدأ shell بعد الانضمام إلى الصندوق الرمل. إذا تم تحديد برنامج ،
يتم تشغيل البرنامج في وضع الحماية. هذا الأمر متاح فقط للمستخدم الجذر.
لا يتم تطبيق تكوينات عوامل تصفية الأمان ومجموعات cgroups و cpus على العملية
الانضمام إلى الصندوق الرمل.
- الانضمام إلى الشبكة = الاسم
انضم إلى مساحة اسم الشبكة الخاصة بصندوق الحماية المحدد بالاسم. بشكل افتراضي
/ بن / باش بدأ shell بعد الانضمام إلى الصندوق الرمل. إذا تم تحديد برنامج ،
يتم تشغيل البرنامج في وضع الحماية. هذا الأمر متاح فقط للمستخدم الجذر.
لا يتم تطبيق تكوينات عوامل تصفية الأمان ومجموعات cgroups و cpus على العملية
الانضمام إلى الصندوق الرمل.
- الانضمام إلى الشبكة = pid
انضم إلى مساحة اسم الشبكة الخاصة بوضع الحماية المحدد بواسطة معرف العملية. بشكل افتراضي
/ بن / باش بدأ shell بعد الانضمام إلى الصندوق الرمل. إذا تم تحديد برنامج ،
يتم تشغيل البرنامج في وضع الحماية. هذا الأمر متاح فقط للمستخدم الجذر.
لا يتم تطبيق تكوينات عوامل تصفية الأمان ومجموعات cgroups و cpus على العملية
الانضمام إلى الصندوق الرمل.
--قائمة قائمة بجميع صناديق الرمل ، انظر MONITORING القسم لمزيد من التفاصيل.
على سبيل المثال:
$ firejail - قائمة
7015: netblue: firejail firefox
7056: netblue: firejail --net = eth0 Transmission-gtk
7064: netblue: firejail --noroot xterm
$
--ماك = العنوان
قم بتعيين عناوين MAC إلى واجهة الشبكة الأخيرة المحددة بواسطة خيار --net.
على سبيل المثال:
$ firejail --net = eth0 --mac = 00: 11: 22: 33: 44: 55 Firefox
--mtu = رقم
قم بتعيين قيمة MTU إلى واجهة الشبكة الأخيرة المحددة بواسطة خيار --net.
على سبيل المثال:
$ firejail --net = eth0 --mtu = 1492
--name = الاسم
تعيين اسم آلية تحديد الوصول. يمكن أن تستخدم عدة خيارات ، مثل --join و --shutdown ، هذا الاسم
لتحديد وضع الحماية.
على سبيل المثال:
$ firejail --name = mybrowser firefox
- net = bridge_interface
قم بتمكين مساحة اسم شبكة جديدة وتوصيلها بواجهة الجسر هذه. إلا إذا
محدد بالخيار --ip و --defaultgw وعنوان IP والبوابة الافتراضية
سيتم تعيينه تلقائيًا إلى Sandbox. تم التحقق من عنوان IP باستخدام ARP
قبل الاحالة. العنوان الذي تم تكوينه كبوابة افتراضية هو جهاز الجسر
عنوان IP. يمكن تعريف ما يصل إلى أربعة أجهزة جسر شبكي. خلط الجسر و
أجهزة macvlan مسموح بها.
على سبيل المثال:
$ سودو brctl addbr br0
sudo ifconfig $ 0/10.10.20.1
$ سودو brctl addbr br1
sudo ifconfig $ 1/10.10.30.1
$ firejail --net = br0 --net = br1
- net = ethernet_interface
قم بتمكين مساحة اسم شبكة جديدة وقم بتوصيلها بواجهة ethernet باستخدام
برنامج تشغيل Linux macvlan القياسي. ما لم يتم تحديد الخيار --ip و --defaultgw ،
سيتم تعيين عنوان IP والبوابة الافتراضية تلقائيًا إلى Sandbox.
يتم التحقق من عنوان IP باستخدام ARP قبل التعيين. العنوان الذي تم تكوينه على هيئة
العبارة الافتراضية هي العبارة الافتراضية للمضيف. يمكن أن يصل عدد أجهزة الشبكة إلى أربعة
معرف. يُسمح بخلط أجهزة الجسر و macvlan.
على سبيل المثال:
$ firejail --net = eth0 --ip = 192.168.1.80 --dns = 8.8.8.8 Firefox
- صافي = لا شيء
تفعيل مساحة اسم شبكة جديدة غير متصلة. الواجهة الوحيدة المتاحة في
مساحة الاسم الجديدة هي واجهة استرجاع جديدة (lo). استخدم هذا الخيار لرفض الشبكة
الوصول إلى البرامج التي لا تحتاج حقًا إلى الوصول إلى الشبكة.
على سبيل المثال:
$ firejail --net = none vlc
- netfilter
قم بتمكين عامل تصفية شبكة العميل الافتراضي في مساحة اسم الشبكة الجديدة. شبكة جديدة
يتم إنشاء مساحات الأسماء باستخدام خيار --net. إذا كانت مساحات أسماء الشبكة الجديدة ليست كذلك
تم إنشاؤه ، خيار netfilter - لا يفعل شيئًا. الفلتر الافتراضي هو كما يلي:
*منقي
: إسقاط الإدخال [0: 0]
: FORWARD DROP [0: 0]
: قبول الإخراج [0: 0]
-A المدخلات -i lo -j قبول
-حالة الإدخال -m- ذات الصلة بالدولة ، تأسست -ج قبول
-A INPUT -p icmp --icmp- نوع الوجهة غير قابل للوصول -j ACCEPT
-A INPUT -p icmp --icmp-type تجاوز الوقت -j ACCEPT
-A INPUT -p icmp -icmp-type echo-request -j قبول
ارتكب
على سبيل المثال:
$ firejail --net = eth0 --netfilter Firefox
--netfilter = اسم الملف
قم بتمكين عامل تصفية الشبكة المحدد بواسطة اسم الملف في مساحة اسم الشبكة الجديدة. ال
تنسيق ملف المرشح هو تنسيق أمري iptables-save و iptable-Restore.
يتم إنشاء مساحات أسماء شبكات جديدة باستخدام خيار --net. إذا كانت هناك مساحات أسماء لشبكة جديدة
لم يتم إنشاء ، خيار netfilter - لا يفعل شيئًا.
المرشحات التالية متوفرة في دليل / etc / firejail:
خادم الويب.نت هو عامل تصفية خادم ويب يسمح بالوصول فقط إلى منافذ TCP 80 و
443. مثال:
$ firejail --netfilter = / etc / firejail / webserver.net --net = eth0 \
/etc/init.d/apachexnumx بداية
nolocal.net هو عامل تصفية العميل الذي يعطل الوصول إلى الشبكة المحلية. مثال:
$ firejail --netfilter = / etc / firejail / nolocal.net \
--net = eth0 فيرفوكس
--netfilter6 = اسم الملف
قم بتمكين عامل تصفية شبكة IPv6 المحدد بواسطة اسم الملف في مساحة اسم الشبكة الجديدة.
تنسيق ملف المرشح هو تنسيق ip6tables-save و ip6table-Restore
أوامر. يتم إنشاء مساحات أسماء شبكات جديدة باستخدام خيار --net. إذا كانت شبكة جديدة
لم يتم إنشاء مساحات الأسماء ، الخيار - netfilter6 لا يفعل شيئًا.
- netstats
مراقبة إحصائيات مساحة اسم الشبكة ، انظر MONITORING القسم لمزيد من التفاصيل.
على سبيل المثال:
firejail $ - netstats
أمر TX (كيلو بايت / ثانية) لمستخدم PID
1294 netblue 53.355 1.473 firejail --net = eth0 firefox
7383 netblue 9.045 0.112 firejail -net = انتقال eth0
--noblacklist = dirname_or_filename
تعطيل القائمة السوداء لهذا الدليل أو الملف.
على سبيل المثال:
$ حريق
2628 دولار
سحق: / بن / nc: تم رفض الإذن
خروج $
$ firejail --noblacklist =/ بن / nc
2628 دولار
220 pan.alephnull.com Dictd 1.12.1 / rf على Linux 3.14-1-amd64
--nogroups
تعطيل المجموعات التكميلية. بدون هذا الخيار ، يتم تمكين المجموعات التكميلية
للمستخدم الذي يبدأ وضع الحماية. بالنسبة لمجموعات المستخدم الجذر التكميلية هي دائمًا
ذوي الاحتياجات الخاصة.
على سبيل المثال:
معرف $
uid = 1000 (netblue) gid = 1000 (netblue)
groups=1000(netblue),24(cdrom),25(floppy),27(sudo),29(audio)
firejail $ --nogroups
رقم تعريف الوالدين 8704 ، رقم تعريف الطفل 8705
تمت تهيئة العملية التابعة
معرف $
uid = 1000 (netblue) gid = 1000 (netblue) مجموعات = 1000 (netblue)
$
--لا الشخصية
لا تستخدم ملف تعريف الأمان.
على سبيل المثال:
$ حريق
قراءة الملف الشخصي /etc/firejail/generic.profile
رقم تعريف الوالدين 8553 ، رقم تعريف الطفل 8554
تمت تهيئة العملية التابعة
[...]
firejail $ --noprofile
رقم تعريف الوالدين 8553 ، رقم تعريف الطفل 8554
تمت تهيئة العملية التابعة
[...]
- لا
قم بتثبيت مساحة اسم مستخدم مع مستخدم واحد - المستخدم الحالي. المستخدم الجذر لا
موجودة في مساحة الاسم الجديدة. يتطلب هذا الخيار إصدار Linux kernel 3.8 أو
أحدث. لا يتم دعم الخيار لتكوينات --chroot و - Overlay ، أو
لصناديق الرمل بدأت كجذر.
على سبيل المثال:
$ firejail - نوروت
رقم تعريف الوالدين 8553 ، رقم تعريف الطفل 8554
تمت تهيئة العملية التابعة
$ بينغ google.com
ping: icmp open socket: العملية غير مسموح بها
$
--لا صوت
تعطيل نظام الصوت.
على سبيل المثال:
$ firejail - فايرفوكس nosound
- الإخراج = ملف السجل
stdout تسجيل وتناوب السجل. انسخ stdout إلى ملف السجل ، واحتفظ بحجم ملف
ملف أقل من 500 كيلو بايت باستخدام تدوير السجل. خمسة ملفات مع البادئات من .1 إلى .5 مستخدمة في
دوران.
على سبيل المثال:
$ firejail --output = sandboxlog / بن / باش
[...]
$ ls -l sandboxlog *
-rw-r - r-- 1 netblue netblue 333890 2 يونيو 07:48 sandboxlog
-rw-r - r-- 1 netblue netblue 511488 2 يونيو 07:48 sandboxlog.1
-rw-r - r-- 1 netblue netblue 511488 2 يونيو 07:48 sandboxlog.2
-rw-r - r-- 1 netblue netblue 511488 2 يونيو 07:48 sandboxlog.3
-rw-r - r-- 1 netblue netblue 511488 2 يونيو 07:48 sandboxlog.4
-rw-r - r-- 1 netblue netblue 511488 2 يونيو 07:48 sandboxlog.5
- تراكب
قم بتركيب تراكب نظام الملفات أعلى نظام الملفات الحالي. كل نظام الملفات
تدخل التعديلات في التراكب. يتم تخزين التراكب في $ HOME / .firejail
الدليل.
مطلوب دعم OverlayFS في Linux kernel حتى يعمل هذا الخيار. تراكب
تم تقديمه رسميًا في Linux kernel الإصدار 3.18
على سبيل المثال:
$ firejail - Overlay Firefox
--تراكب- tmpfs
قم بتركيب تراكب نظام الملفات أعلى نظام الملفات الحالي. كل نظام الملفات
تدخل التعديلات في التراكب ، ويتم تجاهلها عند إغلاق الصندوق الرمل.
مطلوب دعم OverlayFS في Linux kernel حتى يعمل هذا الخيار. تراكب
تم تقديمه رسميًا في Linux kernel الإصدار 3.18
على سبيل المثال:
$ firejail --overlay-tmpfs Firefox
--نشر
جبل جديد / الجذر و / home / أدلة المستخدم في أنظمة الملفات المؤقتة. الجميع
يتم تجاهل التعديلات عند إغلاق الصندوق الرمل.
على سبيل المثال:
$ firejail - فايرفوكس خاص
- خاص = دليل
استخدم الدليل كمنزل للمستخدم.
على سبيل المثال:
$ firejail --private = / home / netblue / Firefox-home Firefox
--private-bin = ملف ، ملف
بناء ملف / بن في نظام ملفات مؤقت ، وانسخ البرامج الموجودة في القائمة. ال
يتم ربط نفس الدليل أيضًا / sbin, / البيرة / بن و / usr / sbin.
على سبيل المثال:
$ firejail - private-bin = bash، sed، ls، cat
رقم تعريف الوالدين 20841 ، رقم تعريف الطفل 20842
تمت تهيئة العملية التابعة
ليرة سورية / بن
باش كات ls sed
- تنمية خاصة
إنشاء جديد / ديف الدليل. فقط دراي ، فارغ ، كامل ، صفر ، tty ، نقاط ، ptmx ، عشوائي ،
تتوفر أجهزة urandom و log و shm.
على سبيل المثال:
$ فايرجيل --private-dev
رقم تعريف الوالدين 9887 ، رقم تعريف الطفل 9888
تمت تهيئة العملية التابعة
ليرة سورية / ديف
سجل كامل فارغ ptmx نقاط عشوائية shm tty urandom صفر
$
--private-etc = ملف ، دليل
بناء ملف / الخ في نظام ملفات مؤقت ، وانسخ الملفات والأدلة بتنسيق
القائمة. يتم تجاهل جميع التعديلات عند إغلاق صندوق الحماية.
على سبيل المثال:
$ firejail --private-etc = مجموعة ، اسم مضيف ، التوقيت المحلي ، \
nsswitch.conf، passwd، resolv.conf
- خاص- tmp
قم بتركيب نظام ملفات مؤقت فارغ فوق / تمة الدليل.
على سبيل المثال:
$ Firejail --private-tmp
- الملف الشخصي = اسم الملف
تحميل ملف تعريف أمان مخصص من اسم الملف. لاسم الملف ، استخدم مسار مطلق أو
مسار متعلق بالمسار الحالي. لمزيد من المعلومات، راجع الأمن مظهر
القسم أدناه.
على سبيل المثال:
$ firejail --profile = ملفي الشخصي
- مسار الملف الشخصي = الدليل
استخدم هذا الدليل للبحث عن ملفات التوصيف. استخدم مسارًا مطلقًا أو مسارًا في ملف
الدليل الرئيسي يبدأ بـ ~ /. لمزيد من المعلومات، راجع الأمن مظهر
القسم أدناه و نقل الملف الشخصي FILES in رجل 5 firejail- الملف الشخصي.
على سبيل المثال:
$ firejail - مسار الملف الشخصي =~ / ملفاتي
$ firejail --profile-path = / home / netblue / myprofiles
- بروتوكول = بروتوكول ، بروتوكول ، بروتوكول
تمكين عامل تصفية البروتوكول. يعتمد المرشح على seccomp ويفحص الأول
حجة لاستدعاء نظام مأخذ. القيم المعترف بها: unix و inet و inet6 و netlink و
رزمة.
على سبيل المثال:
$ firejail --protocol = unix، inet، inet6 firefox
--protocol.print = الاسم
اطبع مرشح البروتوكول الخاص بوضع الحماية المحدد بالاسم.
على سبيل المثال:
$ firejail --name = mybrowser firefox &
[...]
$ firejail --print.print = mybrowser
يونيكس ، إنت ، inet6 ، netlink
--protocol.print = معرف المنتج
اطبع مرشح البروتوكول الخاص بوضع الحماية المحدد بواسطة PID.
على سبيل المثال:
$ firejail - قائمة
3272: netblue: firejail - فَيَرفُكس خاص
firejail $ --protocol.print = 3272
يونيكس ، إنت ، inet6 ، netlink
--هادئ
قم بإيقاف تشغيل إخراج Firejail.
- قراءة فقط = dirname_or_filename
تعيين دليل أو ملف للقراءة فقط.
على سبيل المثال:
firejail $ - للقراءة فقط =~ / .mozilla فايرفوكس
- rlimit-fsize = رقم
قم بتعيين الحد الأقصى لحجم الملف الذي يمكن إنشاؤه بواسطة عملية.
--rlimit-nofile = رقم
قم بتعيين الحد الأقصى لعدد الملفات التي يمكن فتحها بواسطة عملية.
--rlimit-nproc = رقم
قم بتعيين الحد الأقصى لعدد العمليات التي يمكن إنشاؤها لمعرف المستخدم الحقيقي لـ
عملية الاتصال.
- الحد - sigpending = الرقم
قم بتعيين الحد الأقصى لعدد الإشارات المعلقة لعملية ما.
- مسح ARP- امسح جميع الشبكات من داخل مساحة اسم الشبكة. هذا يجعل من الممكن
لاكتشاف برامج تشغيل أجهزة macvlan kernel التي تعمل على المضيف الحالي.
على سبيل المثال:
$ firejail --net = eth0 --scan
- حاسوب
قم بتمكين عامل تصفية seccomp وإدراج مكالمات syscalls في القائمة الافتراضية في القائمة السوداء. الافتراضي
القائمة كما يلي: mount ، umount2 ، ptrace ، kexec_load ، kexec_file_load ،
open_by_handle_at ، init_module ، finit_module ، delete_module ، iopl ، ioperm ، swapon ،
swapoff ، syslog ، process_vm_readv ، process_vm_writev ، sysfs ، _sysctl ، advtimex ،
clock_adjtime ، lookup_dcookie ، perf_event_open ، fanotify_init ، kcmp ، add_key ،
request_key، keyctl، uselib، acct، edit_ldt، pivot_root، io_setup، io_destroy،
io_getevents، io_submit، io_cancel، remap_file_pages، mbind، get_mempolicy،
set_mempolicy و migrate_pages و move_pages و vmsplice و perf_event_open و chroot.
على سبيل المثال:
$ فايرجيل --seccomp
--seccomp = syscall ، syscall ، syscall
قم بتمكين عامل تصفية seccomp ، وقم بإدراج القائمة الافتراضية في القائمة الافتراضية ومكالمات syscalls المحددة بواسطة
أمر.
على سبيل المثال:
$ firejail --seccomp = utime، utimensat، utimes firefox
--seccomp.drop = syscall ، syscall ، syscall
قم بتمكين عامل تصفية seccomp ، وقم بإدراج مكالمات syscalls المحددة بواسطة الأمر في القائمة السوداء.
على سبيل المثال:
$ firejail --seccomp.drop = utime، utimensat، utimes
--seccomp.keep = syscall ، syscall ، syscall
قم بتمكين عامل تصفية seccomp ، وقم بإدراج مكالمات syscalls المحددة بواسطة الأمر في القائمة البيضاء.
على سبيل المثال:
$ firejail --shell = none --seccomp.keep = استطلاع ، تحديد ، [...] transm-gtk
--seccomp. = syscall ، syscall ، syscall
قم بتمكين عامل تصفية seccomp ، وقم بإرجاع errno لمكالمات syscalls المحددة بواسطة الأمر.
مثال: قذيفة Bash حيث يتم تعطيل حذف الملفات
$ firejail --seccomp.eperm = uncinkat
رقم تعريف الوالدين 10662 ، رقم تعريف الطفل 10663
تمت تهيئة العملية التابعة
$ لمس ملف الاختبار
ملف test $ rm
rm: لا يمكن إزالة "ملف الاختبار": العملية غير مسموح بها
- seccomp.print = الاسم
بدأت طباعة مرشح seccomp الخاص بـ sandbox باستخدام خيار الاسم.
على سبيل المثال:
$ firejail --name = متصفح فايرفوكس &
$ firejail --seccomp.print = متصفح
مرشح SECCOMP:
VALIDATE_ARCHITECTURE
EXAMINE_SYSCALL
قائمة BLACKLIST 165 جبل
القائمة السوداء 166 umount2
القائمة السوداء 101 نقطة
القائمة السوداء 246 kexec_load
القائمة السوداء 304 open_by_handle_at
القائمة السوداء 175 init_module
القائمة السوداء 176 delete_module
القائمة السوداء 172 iopl
القائمة السوداء 173 ioperm
القائمة السوداء 167 مبادلة
القائمة السوداء 168 مبادلة
القائمة السوداء 103 سجل نظام
القائمة السوداء 310 معالجة_vm_readv
القائمة السوداء 311 معالجة_vm_writev
القائمة السوداء 133 mknod
القائمة السوداء 139 sysfs
القائمة السوداء 156 _sysctl
القائمة السوداء 159
القائمة السوداء 305 clock_adjtime
القائمة السوداء 212 lookup_dcookie
298 القائمة السوداء perf_event_open
القائمة السوداء 300 fanotify_init
العودة_السماح
$
- seccomp.print = معرف المنتج
اطبع مرشح seccomp لوضع الحماية المحدد بواسطة معرف العملية. استخدم خيار القائمة
للحصول على قائمة بجميع صناديق الحماية النشطة.
على سبيل المثال:
$ firejail - قائمة
10786: netblue: firejail --name = browser firefox $ firejail --seccomp.print = 10786
مرشح SECCOMP:
VALIDATE_ARCHITECTURE
EXAMINE_SYSCAL
قائمة BLACKLIST 165 جبل
القائمة السوداء 166 umount2
القائمة السوداء 101 نقطة
القائمة السوداء 246 kexec_load
القائمة السوداء 304 open_by_handle_at
القائمة السوداء 175 init_module
القائمة السوداء 176 delete_module
القائمة السوداء 172 iopl
القائمة السوداء 173 ioperm
القائمة السوداء 167 مبادلة
القائمة السوداء 168 مبادلة
القائمة السوداء 103 سجل نظام
القائمة السوداء 310 معالجة_vm_readv
القائمة السوداء 311 معالجة_vm_writev
القائمة السوداء 133 mknod
القائمة السوداء 139 sysfs
القائمة السوداء 156 _sysctl
القائمة السوداء 159
القائمة السوداء 305 clock_adjtime
القائمة السوداء 212 lookup_dcookie
298 القائمة السوداء perf_event_open
القائمة السوداء 300 fanotify_init
العودة_السماح
$
- قذيفة = لا شيء
قم بتشغيل البرنامج مباشرة بدون غلاف مستخدم.
على سبيل المثال:
$ firejail --shell = none script.sh
- شل = البرنامج
تعيين غلاف المستخدم الافتراضي. استخدم هذا shell لتشغيل التطبيق باستخدام -c shell
اختيار. على سبيل المثال "firejail --shell =/ بن / اندفاعة Firefox "سيبدأ تشغيل Mozilla
Firefox باسم "/ بن / اندفاعة -c Firefox ". بشكل افتراضي Bash shell (/ بن / باش) يستخدم.
يمكن لخيارات مثل --zsh و --csh أيضًا تعيين الصدفة الافتراضية.
مثال: $ firejail --shell =/ بن / اندفاعة script.sh
- إيقاف التشغيل = الاسم
بدأ إيقاف تشغيل sandbox باستخدام خيار --name.
على سبيل المثال:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --shutdown = mygame
- إيقاف التشغيل = pid
قم بإيقاف تشغيل آلية تحديد الصلاحيات المحددة بواسطة معرف العملية. استخدم خيار القائمة للحصول على قائمة
جميع صناديق الرمل النشطة.
على سبيل المثال:
$ firejail - قائمة
3272: netblue: firejail - فَيَرفُكس خاص
firejail دولار - إيقاف التشغيل = 3272
--tmpfs = اسم الدليل
تحميل نظام ملفات tmpfs على اسم دليل الدليل. هذا الخيار متاح فقط عندما
تشغيل الصندوق الرمل كجذر.
على سبيل المثال:
# firejail --tmpfs =/ فار
--أعلى راقب أكثر صناديق الحماية كثافة لوحدة المعالجة المركزية ، انظر MONITORING القسم لمزيد من التفاصيل.
على سبيل المثال:
$ firejail - أعلى
--أثر
تتبع مكالمات النظام المفتوحة والوصول إليها وتوصيلها.
على سبيل المثال:
firejail $ --trace wget -q www.debian.org
رقم تعريف الوالدين 11793 ، رقم تعريف الطفل 11794
تمت تهيئة العملية التابعة
1: bash: open / dev / tty
1: wget: fopen64 / etc / wgetrc
1: wget: fopen / الخ / المضيفين
1: wget: socket AF_INET SOCK_DGRAM IPPROTO_IP
1: wget: connect 8.8.8.8:53
1: wget: socket AF_INET SOCK_STREAM IPPROTO_IP
1: wget: connect 140.211.15.34:80
1: wget: fopen64 index.html.1
الوالد يغلق ، وداعا ...
- تراسلوغ
يتيح هذا الخيار إمكانية تدقيق الملفات والأدلة المدرجة في القائمة السوداء. تم إرسال رسالة
سجل النظام في حالة الوصول إلى الملف أو الدليل.
على سبيل المثال:
$ firejail - متصفح فايرفوكس
رسائل نموذجية:
$ سودو الذيل -f / فار / سجل / سيسلوغ
[...]
3 ديسمبر 11:43:25 debian firejail [70]: انتهاك القائمة السوداء - sandbox 26370، exe
Firefox ، syscall open64 ، المسار / الخ / الظل
3 ديسمبر 11:46:17 debian firejail [70]: انتهاك القائمة السوداء - sandbox 26370، exe
فايرفوكس ، سيسكال أوبيندير ، مسار / التمهيد
[...]
--شجرة اطبع شجرة من جميع عمليات وضع الحماية ، انظر MONITORING القسم لمزيد من التفاصيل.
على سبيل المثال:
$ فايرجيل --شجرة
11903: netblue: firejail iceweasel
11904: netblue: iceweasel
11957: netblue: / usr / lib / iceweasel / plugin-container
11969: netblue: firejail --net = eth0 Transmission-gtk
11970: netblue: ناقل الحركة- gtk
- المستخدم = مستخدم جديد
قم بتبديل المستخدم قبل بدء وضع الحماية. يجب تشغيل هذا الأمر كجذر.
على سبيل المثال:
# firejail --user = www-data
--الإصدار
طباعة نسخة البرنامج والخروج.
على سبيل المثال:
$ firejail - الإصدار
الإصدار 0.9.27 من firejail
- القائمة البيضاء = dirname_or_filename
دليل أو ملف القائمة البيضاء. يتم تنفيذ هذه الميزة لمنزل المستخدم فقط ، / ديف,
/وسائل الإعلام, / الأراضي الفلسطينية المحتلة, / فارو / تمة الدلائل.
على سبيل المثال:
$ firejail - القائمة البيضاء =~ / .mozilla - القائمة البيضاء =~ / للتحميل
$ firejail - القائمة البيضاء =/tmp/.X11-يونيكس - القائمة البيضاء = / dev / null
$ firejail "--whitelist = / home / username / My Virtual Machines"
--zsh استخدم / usr / bin / zsh كصدفة للمستخدم الافتراضي.
على سبيل المثال:
$ فايرجيل --zsh
حركة المرور تشكيل
يعد النطاق الترددي للشبكة موردًا مكلفًا يتم مشاركته بين جميع صناديق الحماية التي تعمل على النظام.
يسمح تشكيل حركة المرور للمستخدم بزيادة أداء الشبكة من خلال التحكم في الكمية
من البيانات التي تتدفق داخل وخارج صناديق الحماية.
يقوم Firejail بتنفيذ أداة بسيطة لتحديد المعدل استنادًا إلى أمر Linux tc. المشكل
يعمل على مستوى وضع الحماية ، ويمكن استخدامه فقط لصناديق الحماية المكونة من شبكة جديدة
مساحات الأسماء.
تعيين حدود السعر:
firejail --bandwidth = {name | pid} قم بتعيين تحميل تحميل الشبكة
حدود معدل واضحة:
firejail --bandwidth = {name | pid} مسح الشبكة
الحالة:
firejail --bandwidth = حالة {name | pid}
حيث:
الاسم - اسم صندوق الحماية
pid - pid sandbox
شبكة - واجهة شبكة كما يستخدمها خيار - net
تنزيل - سرعة التنزيل بالكيلو بايت / ثانية (كيلوبايت في الثانية)
تحميل - سرعة التحميل بالكيلو بايت / ثانية (كيلوبايت في الثانية)
على سبيل المثال:
$ firejail --name = mybrowser --net = eth0 Firefox &
$ firejail --bandwidth = مجموعة mybrowser eth0 80 20
$ firejail --bandwidth = حالة mybrowser
$ firejail --bandwidth = mybrowser clear eth0
MONITORING
الخيار - قائمة تطبع قائمة بجميع صناديق الحماية. شكل كل عملية إدخال كما
يتبع:
PID: المستخدم: الأمر
الخيار - الشجرة تطبع شجرة العمليات الجارية في صندوق الحماية. شكل كل
دخول العملية على النحو التالي:
PID: المستخدم: الأمر
الخيار --top مشابه لأمر UNIX العلوي ، ومع ذلك فهو ينطبق فقط على صناديق الحماية.
الخيار - netstats يطبع إحصاءات الشبكة لصناديق الحماية النشطة التي تثبت شبكة جديدة
مساحات الأسماء.
المدرجة أدناه هي الحقول (الأعمدة) المتاحة بالترتيب الأبجدي لأعلى و
- خيارات netstat:
أمر
تم استخدام الأمر لبدء وضع الحماية.
استخدام وحدة المعالجة المركزية (CPU)٪ ، حصة وضع الحماية من الوقت المنقضي لوحدة المعالجة المركزية منذ آخر تحديث للشاشة
معرف العملية الفريد PID لمهمة التحكم في آلية تحديد الوصول.
عدد العمليات التي تعمل في وضع الحماية ، بما في ذلك عملية التحكم.
حجم الذاكرة المقيمة (KiB) ، ذاكرة فعلية غير قابلة للتبديل. إنه مجموع
قيم RES لجميع العمليات التي تعمل في وضع الحماية.
RX (كيلو بايت / ثانية)
سرعة استقبال الشبكة.
SHR Shared Memory Size (KiB) ، فهو يعكس الذاكرة المشتركة مع العمليات الأخرى. إنها
مجموع قيم SHR لجميع العمليات التي تعمل في وضع الحماية ، بما في ذلك
عملية التحكم.
TX (كيلو بايت / ثانية)
سرعة نقل الشبكة.
وقت تشغيل وضع الحماية في وقت التشغيل بالساعات: الدقائق: تنسيق الثواني.
المستخدم صاحب الصندوق الرمل.
الأمن مظهر
يمكن تمرير العديد من خيارات سطر الأوامر إلى البرنامج باستخدام ملفات التوصيف. Firejail
يختار ملف الملف الشخصي على النحو التالي:
1. إذا قدم المستخدم ملفًا شخصيًا مع خيار --profile ، فسيكون ملف ملف التعريف
محمل. مثال:
$ firejail --profile = / home / netblue / icecat.profile icecat
قراءة الملف الشخصي /home/netblue/icecat.profile
[...]
2. في حالة وجود ملف ملف تعريف يحمل نفس اسم التطبيق
~ / .config / firejail الدليل أو في / etc / firejail ، يتم تحميل الملف الشخصي.
~ / .config / firejail الأسبقية على / etc / firejail. مثال:
$ فايرجيل آيس كات
اسم الأمر # icecat #
تم العثور على ملف تعريف icecat في دليل /home/netblue/.config/firejail
قراءة الملف الشخصي /home/netblue/.config/firejail/icecat.profile
[...]
3. استخدم ملف default.profile إذا تم بدء وضع الحماية بواسطة مستخدم عادي أو ملف تعريف server.profile
ملف إذا تم تشغيل آلية تحديد الوصول بواسطة الجذر. يبحث Firejail عن هذه الملفات بتنسيق
~ / .config / firejail الدليل ، متبوعًا بدليل / etc / firejail. لتعطيل الافتراضي
تحميل الملف الشخصي ، استخدم خيار الأمر --noprofile. مثال:
$ حريق
قراءة الملف الشخصي /etc/firejail/generic.profile
رقم تعريف الوالدين 8553 ، رقم تعريف الطفل 8554
تمت تهيئة العملية التابعة
[...]
firejail $ --noprofile
رقم تعريف الوالدين 8553 ، رقم تعريف الطفل 8554
تمت تهيئة العملية التابعة
[...]
انظر man 5 firejail-profile للحصول على معلومات بناء جملة ملف الملف الشخصي.
محدد SHELL
لتكوين غلاف مقيد ، استبدل / بن / باش مع / usr / bin / firejail في / etc / password
ملف لكل مستخدم يحتاج إلى تقييد. بدلا من ذلك ، يمكنك تحديد
/ usr / bin / firejail في أمر adduser:
adduser - اسم مستخدم shell / usr / bin / firejail
يتم الإعلان عن الحجج الإضافية التي تم تمريرها إلى firejail القابلة للتنفيذ عند تسجيل الدخول في
/etc/firejail/login.users ملف.
أمثلة
فايرجيل
ابدأ بانتظام / بن / باش جلسة في وضع الحماية.
Firejail Firefox
ابدأ تشغيل Mozilla Firefox.
firejail - تصحيح فايرفوكس
تصحيح أخطاء وضع الحماية في فايرفوكس.
firejail - خاص
بدء / بن / باش جلسة مع دليل رئيسي جديد tmpfs.
firejail --net = br0 ip = 10.10.20.10
بدء / بن / باش جلسة في مساحة اسم شبكة جديدة. الجلسة متصلة بـ
الشبكة الرئيسية باستخدام جهاز جسر br0. تم تعيين عنوان IP 10.10.20.10
إلى الصندوق الرمل.
firejail --net = br0 --net = br1 --net = br2
بدء / بن / باش جلسة في مساحة اسم شبكة جديدة وتوصيلها بـ br0 ، br1 ،
وأجهزة جسر المضيف br2.
firejail - قائمة
قائمة بجميع عمليات وضع الحماية.
استخدم firejail عبر الإنترنت باستخدام خدمات onworks.net
