এটি হল ফায়ারজেল কমান্ড যা আমাদের একাধিক বিনামূল্যের অনলাইন ওয়ার্কস্টেশন যেমন উবুন্টু অনলাইন, ফেডোরা অনলাইন, উইন্ডোজ অনলাইন এমুলেটর বা MAC OS অনলাইন এমুলেটর ব্যবহার করে OnWorks ফ্রি হোস্টিং প্রদানকারীতে চালানো যেতে পারে।
কার্যক্রম:
NAME এর
ফায়ারজেল - লিনাক্স নামস্থান স্যান্ডবক্স প্রোগ্রাম
সাইনোপিসিস
একটি স্যান্ডবক্স শুরু করুন:
ফায়ারজেল [বিকল্প] [প্রোগ্রাম এবং আর্গুমেন্ট]
একটি বিদ্যমান স্যান্ডবক্সের জন্য নেটওয়ার্ক ট্র্যাফিক গঠন:
ফায়ারজেল --ব্যান্ডউইথ={ | } ব্যান্ডউইথ-কমান্ড
পর্যবেক্ষণ:
ফায়ারজেল {--তালিকা | --নেটস্ট্যাটস | --টপ | --বৃক্ষ}
বিবিধ:
ফায়ারজেল {-? | --ডিবাগ-ক্যাপস | --debug-errnos | --debug-syscalls | --ডিবাগ-প্রটোকল
| -- সাহায্য | --সংস্করণ}
বর্ণনাঃ
ফায়ারজেল হল একটি SUID স্যান্ডবক্স প্রোগ্রাম যা দ্বারা নিরাপত্তা লঙ্ঘনের ঝুঁকি হ্রাস করে
লিনাক্স নামস্থান ব্যবহার করে অবিশ্বস্ত অ্যাপ্লিকেশনগুলির চলমান পরিবেশকে সীমাবদ্ধ করা,
seccomp-bpf এবং লিনাক্স ক্ষমতা। এটি একটি প্রক্রিয়া এবং তার সমস্ত বংশধরদের অনুমতি দেয়
বিশ্বব্যাপী ভাগ করা কার্নেল সংস্থানগুলির নিজস্ব ব্যক্তিগত দৃষ্টিভঙ্গি, যেমন নেটওয়ার্ক স্ট্যাক,
প্রক্রিয়া টেবিল, মাউন্ট টেবিল। ফায়ারজেল একটি SELinux বা AppArmor পরিবেশে কাজ করতে পারে, এবং
এটি লিনাক্স কন্ট্রোল গ্রুপের সাথে একত্রিত।
কার্যত কোন নির্ভরতা ছাড়াই সি তে লেখা, সফ্টওয়্যারটি যেকোন লিনাক্স কম্পিউটারে চলে
একটি 3.x কার্নেল সংস্করণ বা নতুন। এটি যেকোনো ধরনের প্রসেস স্যান্ডবক্স করতে পারে: সার্ভার, গ্রাফিক্যাল
অ্যাপ্লিকেশন, এবং এমনকি ব্যবহারকারী লগইন সেশন.
ফায়ারজেল ব্যবহারকারীকে নিরাপত্তা প্রোফাইল ব্যবহার করে অ্যাপ্লিকেশন নিরাপত্তা পরিচালনা করতে দেয়। প্রতিটি
প্রোফাইল একটি নির্দিষ্ট অ্যাপ্লিকেশন বা অ্যাপ্লিকেশনের গ্রুপের জন্য অনুমতিগুলির একটি সেট সংজ্ঞায়িত করে।
সফ্টওয়্যারটিতে আরও কিছু সাধারণ লিনাক্স প্রোগ্রামের নিরাপত্তা প্রোফাইল অন্তর্ভুক্ত রয়েছে, যেমন
যেমন মজিলা ফায়ারফক্স, ক্রোমিয়াম, ভিএলসি, ট্রান্সমিশন ইত্যাদি।
, USAGE
কোনো বিকল্প ছাড়াই, স্যান্ডবক্সে একটি নতুন মাউন্টে একটি chroot ফাইলসিস্টেম তৈরি করা হয়
নামস্থান, এবং নতুন পিআইডি এবং ইউটিএস নামস্থান। IPC, নেটওয়ার্ক এবং ব্যবহারকারীর নামস্থান যোগ করা যেতে পারে
কমান্ড লাইন বিকল্প ব্যবহার করে। ডিফল্ট ফায়ারজেল ফাইল সিস্টেম হোস্টের উপর ভিত্তি করে
শুধুমাত্র পড়ার জন্য মাউন্ট করা প্রধান ডিরেক্টরি সহ ফাইল সিস্টেম। কেবল / হোম এবং / tmp -র পরিবর্তে লেখার যোগ্য।
এটি শুরু হওয়ার সাথে সাথে, ফায়ারজেল এর নামের উপর ভিত্তি করে একটি সুরক্ষা প্রোফাইল খুঁজে বের করার চেষ্টা করে
আবেদন যদি একটি উপযুক্ত প্রোফাইল পাওয়া না যায়, ফায়ারজেল একটি ডিফল্ট প্রোফাইল ব্যবহার করবে।
ডিফল্ট প্রোফাইল বেশ সীমাবদ্ধ। অ্যাপ্লিকেশন কাজ না হলে, ব্যবহার করুন
--noprofile অপশন এটি নিষ্ক্রিয় করতে. আরো তথ্যের জন্য, দেখুন নিরাপত্তা প্রোফাইলের
অধ্যায়.
যদি একটি প্রোগ্রাম আর্গুমেন্ট নির্দিষ্ট করা না থাকে, ফায়ারজেল শুরু হয় / বিন / বাশ শেল উদাহরণ:
$ firejail [বিকল্প] # শুরু ক / বিন / বাশ খোল
$ firejail [বিকল্প] ফায়ারফক্স # মোজিলা ফায়ারফক্স শুরু হচ্ছে
# সুডো ফায়ারজেল [বিকল্প] /etc/init.d/nginx শুরু
বিকল্প
-- বিকল্পের সমাপ্তি সংকেত দেয় এবং আরও বিকল্প প্রক্রিয়াকরণ অক্ষম করে।
--ব্যান্ডউইথ=নাম
নাম দ্বারা চিহ্নিত স্যান্ডবক্সের জন্য ব্যান্ডউইথ সীমা সেট করুন, দেখুন ট্রাফিক শপিং
আরও বিশদ জন্য বিভাগ।
--bandwidth=pid
PID দ্বারা চিহ্নিত স্যান্ডবক্সের জন্য ব্যান্ডউইথ সীমা সেট করুন, দেখুন ট্রাফিক শপিং অধ্যায়
আরো বিস্তারিত জানার জন্য.
--bind=dirname1, dirname2
dirname1 এর উপরে মাউন্ট-বাইন্ড dirname2. এই বিকল্পটি শুধুমাত্র চলমান অবস্থায় উপলব্ধ
রুট হিসাবে স্যান্ডবক্স.
উদাহরণ:
# ফায়ারজেল --bind=/config/www,প্রথমেই / var / WWW
--bind=filename1,filename2
ফাইলের নাম1 এর উপরে মাউন্ট-বাইন্ড ফাইলের নাম2। এই বিকল্পটি শুধুমাত্র তখনই উপলব্ধ
রুট হিসাবে চলমান।
উদাহরণ:
# ফায়ারজেল --bind=/config/etc/passwd,/ Etc / passwd
--blacklist=dirname_or_filename
কালো তালিকাভুক্ত ডিরেক্টরি বা ফাইল।
উদাহরণ:
$ firejail --blacklist=/ এসবিন --কালো তালিকা=/ usr / sbin
$ firejail --blacklist=~/.মোজিলা
$ firejail "--blacklist=/home/username/My Virtual Machines"
-c কমান্ড চালান এবং প্রস্থান করুন।
-- ক্যাপস লিনাক্স ক্ষমতা হল একটি কার্নেল বৈশিষ্ট্য যা রুট সুবিধাকে ভাগ করার জন্য ডিজাইন করা হয়েছে
স্বতন্ত্র বিশেষাধিকারের একটি সেট। এই সুবিধাগুলি সক্ষম বা অক্ষম করা যেতে পারে
স্বাধীনভাবে, এইভাবে রুট হিসাবে চলমান একটি প্রক্রিয়া কি করতে পারে তা সীমাবদ্ধ করে
পদ্ধতি.
ডিফল্টরূপে রুট প্রোগ্রামগুলি সমস্ত সক্ষমতার সাথে সঞ্চালিত হয়। --caps বিকল্প নিষ্ক্রিয়
নিম্নলিখিত ক্ষমতাগুলি: CAP_SYS_MODULE, CAP_SYS_RAWIO, CAP_SYS_BOOT,
CAP_SYS_NICE, CAP_SYS_TTY_CONFIG, CAP_SYSLOG, CAP_MKNOD, CAP_SYS_ADMIN। ফিল্টার
স্যান্ডবক্সে শুরু হওয়া সমস্ত প্রক্রিয়াতে প্রয়োগ করা হয়।
উদাহরণ:
$ sudo firejail --caps "/etc/init.d/nginx start && sleep inf"
--caps.drop=সমস্ত
স্যান্ডবক্সে চলমান প্রক্রিয়াগুলির জন্য সমস্ত ক্ষমতা বাদ দিন। এই বিকল্প হয়
GUI প্রোগ্রাম বা অন্য কোনো প্রোগ্রাম চালানোর জন্য সুপারিশ করা হয় যার রুট প্রয়োজন নেই
বিশেষাধিকার স্যান্ডবক্সিং অবিশ্বস্ত প্রোগ্রাম ইনস্টল করার জন্য এটি একটি আবশ্যক বিকল্প
অনানুষ্ঠানিক উত্স থেকে - যেমন গেমস, জাভা প্রোগ্রাম ইত্যাদি।
উদাহরণ:
$ firejail --caps.drop=all warzone2100
--caps.drop=ক্ষমতা, সামর্থ্য, সক্ষমতা
একটি কাস্টম ব্ল্যাকলিস্ট লিনাক্স ক্ষমতা ফিল্টার সংজ্ঞায়িত করুন।
উদাহরণ:
$ firejail --caps.keep=net_broadcast,net_admin,net_raw
--caps.keep=ক্ষমতা, সামর্থ্য, সামর্থ্য
একটি কাস্টম হোয়াইটলিস্ট লিনাক্স ক্ষমতা ফিল্টার সংজ্ঞায়িত করুন।
উদাহরণ:
$ sudo firejail --caps.keep=chown,net_bind_service,setgid,\ setuid
/etc/init.d/nginx শুরু
--হোয়াইটলিস্ট এবং ---শুধু-পঠন বিকল্পগুলি মিশ্রিত করার বিষয়ে একটি সংক্ষিপ্ত নোট। সাদা তালিকাভুক্ত
ডিরেক্টরিগুলি স্বাধীনভাবে শুধুমাত্র পঠনযোগ্য করা উচিত। একটি প্যারেন্ট ডিরেক্টরি পড়া হচ্ছে-
শুধুমাত্র, হোয়াইটলিস্টকে শুধুমাত্র পঠনযোগ্য করবে না। উদাহরণ:
$ firejail --whitelist=~/কাজ --পাঠ্য-শুধু=~/ --শুধুমাত্র-পঠন=~/কাজ
--caps.print=নাম
নাম দ্বারা চিহ্নিত স্যান্ডবক্সের জন্য ক্যাপ ফিল্টার প্রিন্ট করুন।
উদাহরণ:
$ firejail --name=mygame --caps.drop=all warzone2100 &
[...]
$ firejail --caps.print=mygame
--caps.print=pid
PID দ্বারা চিহ্নিত একটি স্যান্ডবক্সের জন্য ক্যাপস ফিল্টার প্রিন্ট করুন।
উদাহরণ:
$ firejail -- তালিকা
3272:নেটব্লু:ফায়ারজেল --প্রাইভেট ফায়ারফক্স
$ firejail --caps.print=3272
--cgroup=টাস্ক-ফাইল
নির্দিষ্ট নিয়ন্ত্রণ গ্রুপে স্যান্ডবক্স রাখুন। tasks-file হল এর সম্পূর্ণ পথ
cgroup টাস্ক ফাইল।
উদাহরণ:
# ফায়ারজেল --cgroup=/sys/fs/cgroup/g1/tasks
--chroot=dirname
একটি রুট ফাইল সিস্টেমে স্যান্ডবক্স ক্রুট করুন। স্যান্ডবক্স নিয়মিত হিসাবে শুরু হলে
ব্যবহারকারী, ডিফল্ট seccomp এবং ক্ষমতা ফিল্টার সক্রিয় করা হয়েছে।
উদাহরণ:
$ firejail --chroot=/media/ubuntu warzone2100
--cpu=cpu-সংখ্যা, cpu-সংখ্যা, cpu-সংখ্যা
CPU অ্যাফিনিটি সেট করুন।
উদাহরণ:
$ firejail --cpu=0,1 হ্যান্ডব্রেক
--csh ডিফল্ট ব্যবহারকারী শেল হিসাবে /bin/csh ব্যবহার করুন।
উদাহরণ:
$ firejail --csh
--ডিবাগ
ডিবাগ বার্তা প্রিন্ট করুন।
উদাহরণ:
$ firejail --debug firefox
--ডিবাগ-ব্ল্যাকলিস্ট
কালোতালিকা ডিবাগ করুন।
উদাহরণ:
$ firejail --debug-blacklists firefox
--ডিবাগ-ক্যাপস
বর্তমান ফায়ারজেল সফ্টওয়্যার বিল্ড এবং প্রস্থানে সমস্ত স্বীকৃত ক্ষমতা প্রিন্ট করুন।
উদাহরণ:
$ firejail --debug-caps
--ডিবাগ-চেক-ফাইলের নাম
ডিবাগ ফাইলের নাম পরীক্ষা করা হচ্ছে।
উদাহরণ:
$ firejail --debug-check-filename firefox
--debug-errnos
বর্তমান ফায়ারজেল সফ্টওয়্যার বিল্ড এবং প্রস্থানে সমস্ত স্বীকৃত ত্রুটি নম্বর প্রিন্ট করুন।
উদাহরণ:
$ firejail --debug-errnos
--ডিবাগ-প্রটোকল
বর্তমান ফায়ারজেল সফ্টওয়্যার বিল্ড এবং প্রস্থানে সমস্ত স্বীকৃত প্রোটোকল প্রিন্ট করুন।
উদাহরণ:
$ firejail --debug-protocols
--debug-syscalls
বর্তমান ফায়ারজেল সফ্টওয়্যার বিল্ড এবং প্রস্থানে সমস্ত স্বীকৃত সিস্টেম কল প্রিন্ট করুন।
উদাহরণ:
$ firejail --debug-syscalls
--ডিবাগ-হুইটেলস্ট
ডিবাগ হোয়াইটলিস্টিং।
উদাহরণ:
$ firejail --debug-whitelists firefox
--defaultgw=ঠিকানা
নতুন নেটওয়ার্ক নামস্থানে ডিফল্ট গেটওয়ে হিসাবে এই ঠিকানাটি ব্যবহার করুন৷
উদাহরণ:
$ firejail --net=eth0 --defaultgw=10.10.20.1 ফায়ারফক্স
--dns=ঠিকানা
স্যান্ডবক্সের জন্য একটি DNS সার্ভার সেট করুন। তিনটি ডিএনএস সার্ভার পর্যন্ত সংজ্ঞায়িত করা যেতে পারে। এটা ব্যবহার কর
আপনি যদি আপনার নেটওয়ার্কে DNS সেটআপে বিশ্বাস না করেন তবে বিকল্প।
উদাহরণ:
$ firejail --dns=8.8.8.8 --dns=8.8.4.4 ফায়ারফক্স
--dns.print=নাম
নাম দ্বারা চিহ্নিত একটি স্যান্ডবক্সের জন্য DNS কনফিগারেশন মুদ্রণ করুন।
উদাহরণ:
$ firejail --name=mygame --caps.drop=all warzone2100 &
[...]
$ firejail --dns.print=mygame
--dns.print=pid
PID দ্বারা চিহ্নিত একটি স্যান্ডবক্সের জন্য DNS কনফিগারেশন প্রিন্ট করুন।
উদাহরণ:
$ firejail -- তালিকা
3272:নেটব্লু:ফায়ারজেল --প্রাইভেট ফায়ারফক্স
$ firejail --dns.print=3272
--env=name=value
নতুন স্যান্ডবক্সে পরিবেশ পরিবর্তনশীল সেট করুন।
উদাহরণ:
$ firejail --env=LD_LIBRARY_PATH=/opt/test/lib
-- বল
ডিফল্টরূপে, যদি ফায়ারজেল একটি বিদ্যমান স্যান্ডবক্সে চালু হয়, তাহলে এটি প্রোগ্রামটি চালাবে
একটি বাশ শেল মধ্যে. এই বিকল্পটি এই আচরণটি নিষ্ক্রিয় করে, এবং শুরু করার চেষ্টা করে
বিদ্যমান স্যান্ডবক্সে ফায়ারজেল। এটি ব্যর্থ হওয়ার অনেক কারণ থাকতে পারে,
উদাহরণস্বরূপ যদি বিদ্যমান স্যান্ডবক্স অ্যাডমিন ক্ষমতা, SUID বাইনারি, বা অক্ষম করে
যদি এটি seccomp চালায়।
--fs.print=নাম
নামের দ্বারা চিহ্নিত স্যান্ডবক্সের জন্য ফাইল সিস্টেম লগ মুদ্রণ করুন।
উদাহরণ:
$ firejail --name=mygame --caps.drop=all warzone2100 &
[...]
$ firejail --fs.print=mygame
--fs.print=pid
PID দ্বারা চিহ্নিত একটি স্যান্ডবক্সের জন্য ফাইল সিস্টেম লগ মুদ্রণ করুন।
উদাহরণ:
$ firejail -- তালিকা
3272:নেটব্লু:ফায়ারজেল --প্রাইভেট ফায়ারফক্স
$ firejail --fs.print=3272
-?, --help
প্রিন্ট অপশন শেষ প্রস্থান.
--হোস্টনাম=নাম
স্যান্ডবক্স হোস্টনাম সেট করুন।
উদাহরণ:
$ firejail --hostname=officepc firefox
--ignore=command
প্রোফাইল ফাইলে কমান্ড উপেক্ষা করুন।
উদাহরণ:
$ firejail --ignore=shell --ignore=seccomp firefox
--ইন্টারফেস=ইন্টারফেস
একটি নতুন নেটওয়ার্ক নামস্থানে ইন্টারফেস সরান। চারটি পর্যন্ত -- ইন্টারফেস বিকল্প হতে পারে
নির্দিষ্ট
উদাহরণ:
$ firejail --interface=eth1 --interface=eth0.vlan100
--ip=ঠিকানা
--net বিকল্প দ্বারা সংজ্ঞায়িত শেষ নেটওয়ার্ক ইন্টারফেসে IP ঠিকানা বরাদ্দ করুন। ক
ডিফল্ট গেটওয়ে ডিফল্টরূপে বরাদ্দ করা হয়।
উদাহরণ:
$ firejail --net=eth0 --ip=10.10.20.56 ফায়ারফক্স
--ip=কোনটি নয়
সংজ্ঞায়িত শেষ ইন্টারফেসের জন্য কোনো IP ঠিকানা এবং কোনো ডিফল্ট গেটওয়ে কনফিগার করা নেই
একটি --নেট বিকল্প দ্বারা। যদি আপনি একটি বাহ্যিক DHCP শুরু করতে চান তাহলে এই বিকল্পটি ব্যবহার করুন৷
স্যান্ডবক্সে ক্লায়েন্ট।
উদাহরণ:
$ firejail --net=eth0 --ip=কোনটি নয়
--ip6=ঠিকানা
একটি --net বিকল্প দ্বারা সংজ্ঞায়িত শেষ নেটওয়ার্ক ইন্টারফেসে IPv6 ঠিকানা বরাদ্দ করুন।
উদাহরণ:
$ firejail --net=eth0 --ip6=2001:0db8:0:f101::1/64 firefox
--iprange= ঠিকানা, ঠিকানা
দ্বারা সংজ্ঞায়িত শেষ নেটওয়ার্ক ইন্টারফেসে প্রদত্ত পরিসরে একটি IP ঠিকানা বরাদ্দ করুন
একটি --নেট বিকল্প। একটি ডিফল্ট গেটওয়ে ডিফল্টরূপে বরাদ্দ করা হয়।
উদাহরণ:
$ firejail --net=eth0 --iprange=192.168.1.100,192.168.1.150
--ipc-নামস্থান
যদি স্যান্ডবক্স নিয়মিত ব্যবহারকারী হিসাবে শুরু করা হয় তবে একটি নতুন IPC নামস্থান সক্ষম করুন৷ আইপিসি
রুট হিসাবে শুরু হওয়া স্যান্ডবক্সগুলির জন্য নামস্থান ডিফল্টরূপে সক্রিয় থাকে।
উদাহরণ:
$ firejail --ipc-namespace firefox
-- জয়েন = নাম
নামের দ্বারা চিহ্নিত স্যান্ডবক্সে যোগ দিন। ডিফল্টরূপে a / বিন / বাশ শেল পরে শুরু হয়
স্যান্ডবক্স যোগদান. যদি একটি প্রোগ্রাম নির্দিষ্ট করা হয়, প্রোগ্রামটি স্যান্ডবক্সে চালানো হয়।
যদি --join কমান্ড নিয়মিত ব্যবহারকারী হিসাবে জারি করা হয়, সমস্ত নিরাপত্তা ফিল্টার কনফিগার করা হয়
নতুন প্রক্রিয়ার জন্য সেগুলি স্যান্ডবক্সে কনফিগার করা হয়েছে। যদি --join কমান্ড
রুট হিসাবে জারি করা হয়, নিরাপত্তা ফিল্টার, cgroups এবং cpus কনফিগারেশন নয়
স্যান্ডবক্সে যোগদানের প্রক্রিয়ায় প্রয়োগ করা হয়।
উদাহরণ:
$ firejail --name=mygame --caps.drop=all warzone2100 &
[...]
$ firejail --join=mygame
--join=pid
প্রসেস আইডি দ্বারা চিহ্নিত স্যান্ডবক্সে যোগ দিন। ডিফল্টরূপে a / বিন / বাশ শেল শুরু হয়
স্যান্ডবক্সে যোগদানের পর। যদি একটি প্রোগ্রাম নির্দিষ্ট করা হয়, প্রোগ্রামটি চালানো হয়
স্যান্ডবক্স যদি --join কমান্ড নিয়মিত ব্যবহারকারী হিসাবে জারি করা হয়, সমস্ত নিরাপত্তা ফিল্টার হয়
নতুন প্রক্রিয়ার জন্য কনফিগার করা একইভাবে সেগুলি স্যান্ডবক্সে কনফিগার করা হয়েছে। যদি
--join কমান্ড রুট, নিরাপত্তা ফিল্টার, cgroups এবং cpus হিসাবে জারি করা হয়
স্যান্ডবক্সে যোগদানের প্রক্রিয়ায় কনফিগারেশন প্রয়োগ করা হয় না।
উদাহরণ:
$ firejail -- তালিকা
3272:নেটব্লু:ফায়ারজেল --প্রাইভেট ফায়ারফক্স
$ firejail --join=3272
--join-filesystem=name
নামের দ্বারা চিহ্নিত স্যান্ডবক্সের মাউন্ট নেমস্পেসে যোগ দিন। ডিফল্টরূপে a / বিন / বাশ
শেল স্যান্ডবক্সে যোগদানের পর শুরু হয়। একটি প্রোগ্রাম নির্দিষ্ট করা হলে, প্রোগ্রাম
স্যান্ডবক্সে চালানো হয়। এই কমান্ডটি শুধুমাত্র রুট ব্যবহারকারীর জন্য উপলব্ধ। নিরাপত্তা
ফিল্টার, cgroups এবং cpus কনফিগারেশন যোগদানের প্রক্রিয়াতে প্রয়োগ করা হয় না
স্যান্ডবক্স।
--join-filesystem=pid
প্রসেস আইডি দ্বারা চিহ্নিত স্যান্ডবক্সের মাউন্ট নেমস্পেসে যোগ দিন। ডিফল্টরূপে a
/ বিন / বাশ শেল স্যান্ডবক্সে যোগদানের পর শুরু হয়। যদি একটি প্রোগ্রাম নির্দিষ্ট করা হয়,
প্রোগ্রামটি স্যান্ডবক্সে চালানো হয়। এই কমান্ডটি শুধুমাত্র রুট ব্যবহারকারীর জন্য উপলব্ধ।
নিরাপত্তা ফিল্টার, cgroups এবং cpus কনফিগারেশন প্রক্রিয়াটিতে প্রয়োগ করা হয় না
স্যান্ডবক্স যোগদান.
--join-network=নাম
নামের দ্বারা চিহ্নিত স্যান্ডবক্সের নেটওয়ার্ক নামস্থানে যোগ দিন। ডিফল্টরূপে a
/ বিন / বাশ শেল স্যান্ডবক্সে যোগদানের পর শুরু হয়। যদি একটি প্রোগ্রাম নির্দিষ্ট করা হয়,
প্রোগ্রামটি স্যান্ডবক্সে চালানো হয়। এই কমান্ডটি শুধুমাত্র রুট ব্যবহারকারীর জন্য উপলব্ধ।
নিরাপত্তা ফিল্টার, cgroups এবং cpus কনফিগারেশন প্রক্রিয়াটিতে প্রয়োগ করা হয় না
স্যান্ডবক্স যোগদান.
--join-network=pid
প্রক্রিয়া আইডি দ্বারা চিহ্নিত স্যান্ডবক্সের নেটওয়ার্ক নামস্থানে যোগ দিন। ডিফল্টরূপে a
/ বিন / বাশ শেল স্যান্ডবক্সে যোগদানের পর শুরু হয়। যদি একটি প্রোগ্রাম নির্দিষ্ট করা হয়,
প্রোগ্রামটি স্যান্ডবক্সে চালানো হয়। এই কমান্ডটি শুধুমাত্র রুট ব্যবহারকারীর জন্য উপলব্ধ।
নিরাপত্তা ফিল্টার, cgroups এবং cpus কনফিগারেশন প্রক্রিয়াটিতে প্রয়োগ করা হয় না
স্যান্ডবক্স যোগদান.
--তালিকা সব স্যান্ডবক্স তালিকা, দেখুন নিরীক্ষণ আরও বিশদ জন্য বিভাগ।
উদাহরণ:
$ firejail -- তালিকা
7015:নেটব্লু:ফায়ারজেল ফায়ারফক্স
7056:নেটব্লু:ফায়ারজেল --নেট=eth0 ট্রান্সমিশন-জিটিকে
7064:নেটব্লু:ফায়ারজেল --নরুট এক্সটার্ম
$
--mac=ঠিকানা
--net বিকল্প দ্বারা সংজ্ঞায়িত শেষ নেটওয়ার্ক ইন্টারফেসে MAC ঠিকানা বরাদ্দ করুন।
উদাহরণ:
$ firejail --net=eth0 --mac=00:11:22:33:44:55 firefox
--mtu=সংখ্যা
--net বিকল্প দ্বারা সংজ্ঞায়িত শেষ নেটওয়ার্ক ইন্টারফেসে একটি MTU মান বরাদ্দ করুন।
উদাহরণ:
$ firejail --net=eth0 --mtu=1492
--নাম=নাম
স্যান্ডবক্স নাম সেট করুন। বেশ কিছু বিকল্প, যেমন --join এবং --shutdown, এই নামটি ব্যবহার করতে পারে
একটি স্যান্ডবক্স সনাক্ত করতে।
উদাহরণ:
$ firejail --name=mybrowser firefox
--নেট=ব্রিজ_ইন্টারফেস
একটি নতুন নেটওয়ার্ক নামস্থান সক্ষম করুন এবং এটিকে এই সেতু ইন্টারফেসের সাথে সংযুক্ত করুন৷ যদি না
বিকল্প --ip এবং --defaultgw, একটি IP ঠিকানা এবং একটি ডিফল্ট গেটওয়ে দিয়ে নির্দিষ্ট করা হয়েছে
স্যান্ডবক্সে স্বয়ংক্রিয়ভাবে বরাদ্দ করা হবে। IP ঠিকানা ARP ব্যবহার করে যাচাই করা হয়
নিয়োগের আগে। ডিফল্ট গেটওয়ে হিসাবে কনফিগার করা ঠিকানাটি ব্রিজ ডিভাইস
আইপি ঠিকানা. চারটি পর্যন্ত --নেট ব্রিজ ডিভাইস সংজ্ঞায়িত করা যেতে পারে। মিশ্রণ সেতু এবং
ম্যাকভলান ডিভাইস অনুমোদিত।
উদাহরণ:
$ sudo brctl addbr br0
$ sudo ifconfig br0 10.10.20.1/24
$ sudo brctl addbr br1
$ sudo ifconfig br1 10.10.30.1/24
$ firejail --net=br0 --net=br1
--নেট=ইথারনেট_ইন্টারফেস
একটি নতুন নেটওয়ার্ক নামস্থান সক্ষম করুন এবং এটি ব্যবহার করে এই ইথারনেট ইন্টারফেসের সাথে সংযুক্ত করুন
স্ট্যান্ডার্ড লিনাক্স ম্যাকভলান ড্রাইভার। অপশন --ip এবং --defaultgw এর সাথে নির্দিষ্ট না হলে,
একটি IP ঠিকানা এবং একটি ডিফল্ট গেটওয়ে স্যান্ডবক্সে স্বয়ংক্রিয়ভাবে বরাদ্দ করা হবে।
আইপি ঠিকানা অ্যাসাইনমেন্টের আগে ARP ব্যবহার করে যাচাই করা হয়। ঠিকানা হিসাবে কনফিগার করা হয়েছে
ডিফল্ট গেটওয়ে হোস্টের ডিফল্ট গেটওয়ে। চারটি পর্যন্ত --net ডিভাইস হতে পারে
সংজ্ঞায়িত ব্রিজ এবং ম্যাকভলান ডিভাইসের মিশ্রণ অনুমোদিত।
উদাহরণ:
$ firejail --net=eth0 --ip=192.168.1.80 --dns=8.8.8.8 ফায়ারফক্স
--নেট=কোনটি নয়
একটি নতুন, সংযোগহীন নেটওয়ার্ক নামস্থান সক্ষম করুন৷ শুধুমাত্র ইন্টারফেস উপলব্ধ
নতুন নামস্থান হল একটি নতুন লুপব্যাক ইন্টারফেস (lo)। নেটওয়ার্ক অস্বীকার করতে এই বিকল্পটি ব্যবহার করুন
এমন প্রোগ্রামগুলিতে অ্যাক্সেস যা সত্যিই নেটওয়ার্ক অ্যাক্সেসের প্রয়োজন নেই।
উদাহরণ:
$ ফায়ারজেল --নেট = কোনটিই ভিএলসি
--নেট ফিল্টার
নতুন নেটওয়ার্ক নামস্থানে একটি ডিফল্ট ক্লায়েন্ট নেটওয়ার্ক ফিল্টার সক্ষম করুন৷ নতুন নেটওয়ার্ক
নামস্থান --net বিকল্প ব্যবহার করে তৈরি করা হয়। একটি নতুন নেটওয়ার্ক নামস্থান না হলে
তৈরি, --netfilter বিকল্প কিছুই করে না। ডিফল্ট ফিল্টার নিম্নরূপ:
*ছাঁকনি
:ইনপুট ড্রপ [0:0]
: ফরোয়ার্ড ড্রপ [0:0]
: আউটপুট গ্রহণ [0:0]
-একটি ইনপুট -i lo -j স্বীকার করুন৷
-একটি ইনপুট -মি রাষ্ট্র --রাষ্ট্র সম্পর্কিত, প্রতিষ্ঠিত -j স্বীকার করুন
-একটি INPUT -p icmp --icmp-টাইপ গন্তব্য-অনুগামযোগ্য -j স্বীকার করুন
-একটি ইনপুট -p icmp --icmp-টাইপ সময়-সীমা অতিক্রম করেছে -j স্বীকার করুন
-একটি ইনপুট -p icmp --icmp-টাইপ ইকো-অনুরোধ -j গ্রহন করুন
সমর্পণ করা
উদাহরণ:
$ firejail --net=eth0 --netfilter firefox
--নেটফিল্টার=ফাইলের নাম
নতুন নেটওয়ার্ক নামস্থানে ফাইলের নাম দ্বারা নির্দিষ্ট করা নেটওয়ার্ক ফিল্টার সক্ষম করুন। দ্য
ফিল্টার ফাইল ফরম্যাট হল iptables-save এবং iptable-restore কমান্ডের বিন্যাস।
--net বিকল্প ব্যবহার করে নতুন নেটওয়ার্ক নেমস্পেস তৈরি করা হয়। যদি একটি নতুন নেটওয়ার্ক নামস্থান
তৈরি করা হয় না, --netfilter বিকল্প কিছুই করে না।
নিম্নলিখিত ফিল্টারগুলি /etc/firejail ডিরেক্টরিতে উপলব্ধ:
webserver.net একটি ওয়েব সার্ভার ফিল্টার যা শুধুমাত্র TCP পোর্ট 80 এবং তে অ্যাক্সেসের অনুমতি দেয়
443. উদাহরণ:
$ firejail --netfilter=/etc/firejail/webserver.net --net=eth0 \
/etc/init.d/apache2 শুরু
nolocal.net একটি ক্লায়েন্ট ফিল্টার যা স্থানীয় নেটওয়ার্কে অ্যাক্সেস অক্ষম করে। উদাহরণ:
$ firejail --netfilter=/etc/firejail/nolocal.net \
--net=eth0 ফায়ারফক্স
--netfilter6=ফাইলের নাম
নতুন নেটওয়ার্ক নামস্থানে ফাইলের নাম দ্বারা নির্দিষ্ট করা IPv6 নেটওয়ার্ক ফিল্টার সক্ষম করুন৷
ফিল্টার ফাইল ফরম্যাট হল ip6tables-save এবং ip6table-restore-এর বিন্যাস
আদেশ --net বিকল্প ব্যবহার করে নতুন নেটওয়ার্ক নেমস্পেস তৈরি করা হয়। নতুন নেটওয়ার্ক হলে
নেমস্পেস তৈরি করা হয় না, --netfilter6 বিকল্প কিছুই করে না।
--নেটস্ট্যাটস
নেটওয়ার্ক নেমস্পেস পরিসংখ্যান নিরীক্ষণ, দেখুন নিরীক্ষণ আরও বিশদ জন্য বিভাগ।
উদাহরণ:
$ firejail --netstats
PID ব্যবহারকারী RX(KB/s) TX(KB/s) কমান্ড
1294 নেটব্লু 53.355 1.473 ফায়ারজেল --নেট=eth0 ফায়ারফক্স
7383 নেটব্লু 9.045 0.112 ফায়ারজেল --net=eth0 ট্রান্সমিশন
--noblacklist=dirname_or_filename
এই ডিরেক্টরি বা ফাইলের জন্য কালো তালিকা অক্ষম করুন।
উদাহরণ:
$ ফায়ারজেল
$nc dict.org 2628
বাশ: /bin/nc: অনুমতি অস্বীকৃত
$ প্রস্থান
$ firejail --noblacklist=/bin/nc
$nc dict.org 2628
Linux 220-1.12.1-amd3.14-এ 1 pan.alephnull.com dictd 64/rf
--নোগ্রুপ
পরিপূরক গ্রুপ নিষ্ক্রিয়. এই বিকল্পটি ছাড়া, পরিপূরক গোষ্ঠীগুলি সক্রিয় করা হয়
স্যান্ডবক্স শুরু করা ব্যবহারকারীর জন্য। রুট ব্যবহারকারীর জন্য পরিপূরক গ্রুপ সবসময় হয়
অক্ষম।
উদাহরণ:
। আইডি
uid=1000(নেটব্লু) gid=1000(নেটব্লু)
groups=1000(netblue),24(cdrom),25(floppy),27(sudo),29(audio)
$ firejail --nogroups
পিতামাতার পিআইডি 8704, শিশু পিআইডি 8705
শিশু প্রক্রিয়া শুরু হয়েছে
। আইডি
uid=1000(নেটব্লু) gid=1000(নেটব্লু) গ্রুপ=1000(নেটব্লু)
$
--নোপ্রোফাইল
একটি নিরাপত্তা প্রোফাইল ব্যবহার করবেন না.
উদাহরণ:
$ ফায়ারজেল
প্রোফাইল পড়া /etc/firejail/generic.profile
পিতামাতার পিআইডি 8553, শিশু পিআইডি 8554
শিশু প্রক্রিয়া শুরু হয়েছে
[...]
$ firejail --noprofile
পিতামাতার পিআইডি 8553, শিশু পিআইডি 8554
শিশু প্রক্রিয়া শুরু হয়েছে
[...]
--কোন রুট নেই
একটি একক ব্যবহারকারীর সাথে একটি ব্যবহারকারীর নামস্থান ইনস্টল করুন - বর্তমান ব্যবহারকারী। রুট ব্যবহারকারী করে না
নতুন নামস্থানে বিদ্যমান। এই বিকল্পটির জন্য একটি Linux কার্নেল সংস্করণ 3.8 বা প্রয়োজন
নতুন বিকল্পটি --chroot এবং --overlay কনফিগারেশনের জন্য সমর্থিত নয়, অথবা
স্যান্ডবক্সের জন্য রুট হিসাবে শুরু।
উদাহরণ:
$ firejail --noroot
পিতামাতার পিআইডি 8553, শিশু পিআইডি 8554
শিশু প্রক্রিয়া শুরু হয়েছে
$ ping google.com
ping: icmp ওপেন সকেট: অপারেশন অনুমোদিত নয়
$
--কোন শব্দ নেই
সাউন্ড সিস্টেম অক্ষম করুন।
উদাহরণ:
$ firejail --nosound firefox
--আউটপুট=লগফাইল
stdout লগিং এবং লগ রোটেশন। লগফাইলে stdout কপি করুন, এবং সাইজ রাখুন
লগ রোটেশন ব্যবহার করে 500KB এর নিচে ফাইল। .1 থেকে .5 উপসর্গ সহ পাঁচটি ফাইল ব্যবহার করা হয়েছে
ঘূর্ণন।
উদাহরণ:
$ ফায়ারজেল --আউটপুট=স্যান্ডবক্সলগ / বিন / বাশ
[...]
$ls -l স্যান্ডবক্সলগ*
-rw-r--r-- 1 নেটব্লু নেটব্লু 333890 জুন 2 07:48 স্যান্ডবক্সলগ
-rw-r--r-- 1 নেটব্লু নেটব্লু 511488 জুন 2 07:48 স্যান্ডবক্সলগ.1
-rw-r--r-- 1 নেটব্লু নেটব্লু 511488 জুন 2 07:48 স্যান্ডবক্সলগ.2
-rw-r--r-- 1 নেটব্লু নেটব্লু 511488 জুন 2 07:48 স্যান্ডবক্সলগ.3
-rw-r--r-- 1 নেটব্লু নেটব্লু 511488 জুন 2 07:48 স্যান্ডবক্সলগ.4
-rw-r--r-- 1 নেটব্লু নেটব্লু 511488 জুন 2 07:48 স্যান্ডবক্সলগ.5
--ওভারলে
বর্তমান ফাইল সিস্টেমের উপরে একটি ফাইল সিস্টেম ওভারলে মাউন্ট করুন। সমস্ত ফাইল সিস্টেম
পরিবর্তনগুলি ওভারলেতে যায়। ওভারলে $HOME/.firejail এ সংরক্ষিত আছে
ডিরেক্টরি.
এই বিকল্পটি কাজ করার জন্য Linux কার্নেলে OverlayFS সমর্থন প্রয়োজন। ওভারলেএফএস
লিনাক্স কার্নেল সংস্করণ 3.18 এ আনুষ্ঠানিকভাবে চালু করা হয়েছিল
উদাহরণ:
$ firejail --overlay firefox
--ওভারলে-tmpfs
বর্তমান ফাইল সিস্টেমের উপরে একটি ফাইল সিস্টেম ওভারলে মাউন্ট করুন। সমস্ত ফাইল সিস্টেম
পরিবর্তনগুলি ওভারলেতে যায় এবং স্যান্ডবক্স বন্ধ হয়ে গেলে বাতিল করা হয়।
এই বিকল্পটি কাজ করার জন্য Linux কার্নেলে OverlayFS সমর্থন প্রয়োজন। ওভারলেএফএস
লিনাক্স কার্নেল সংস্করণ 3.18 এ আনুষ্ঠানিকভাবে চালু করা হয়েছিল
উদাহরণ:
$ firejail --overlay-tmpfs firefox
--ব্যক্তিগত
নতুন মাউন্ট / রুট এবং /home/user ডিরেক্টরিগুলি অস্থায়ী ফাইল সিস্টেমে। সব
স্যান্ডবক্স বন্ধ হয়ে গেলে পরিবর্তনগুলি বাতিল করা হয়।
উদাহরণ:
$ firejail --private firefox
--private=directory
ব্যবহারকারী হোম হিসাবে ডিরেক্টরি ব্যবহার করুন.
উদাহরণ:
$ firejail --private=/home/netblue/firefox-home firefox
--private-bin=file,file
একটি নতুন তৈরি করুন / বিন একটি অস্থায়ী ফাইল সিস্টেমে, এবং তালিকার প্রোগ্রামগুলি অনুলিপি করুন। দ্য
একই ডিরেক্টরিটিও বাইন্ড-মাউন্ট করা হয় / এসবিন, , / Usr / বিন এবং /usr/sbin।
উদাহরণ:
$ firejail --private-bin=bash,sed,ls,cat
পিতামাতার পিআইডি 20841, শিশু পিআইডি 20842
শিশু প্রক্রিয়া শুরু হয়েছে
s ls / বিন
বাশ বিড়াল ls sed
--প্রাইভেট-দেব
নতুন একটি তৈরি কর / দেব ডিরেক্টরি শুধুমাত্র dri, নাল, পূর্ণ, শূন্য, tty, pts, ptmx, এলোমেলো,
urandom, log এবং shm ডিভাইস পাওয়া যায়।
উদাহরণ:
$ firejail --private-dev
পিতামাতার পিআইডি 9887, শিশু পিআইডি 9888
শিশু প্রক্রিয়া শুরু হয়েছে
s ls / দেব
dri সম্পূর্ণ লগ নাল ptmx pts এলোমেলো shm tty urandom শূন্য
$
--private-etc=file,directory
একটি নতুন তৈরি করুন জন্য / etc একটি অস্থায়ী ফাইল সিস্টেমে, এবং ফাইল এবং ডিরেক্টরি অনুলিপি করুন
ক্রমতালিকা. স্যান্ডবক্স বন্ধ হয়ে গেলে সমস্ত পরিবর্তন বাতিল করা হয়।
উদাহরণ:
$ firejail --private-etc=group,hostname,localtime,\
nsswitch.conf,passwd,resolv.conf
--প্রাইভেট-টিএমপি
উপরে একটি খালি অস্থায়ী ফাইল সিস্টেম মাউন্ট করুন / tmp -র পরিবর্তে ডিরেক্টরি.
উদাহরণ:
$ firejail --private-tmp
--প্রোফাইল=ফাইলের নাম
ফাইলের নাম থেকে একটি কাস্টম নিরাপত্তা প্রোফাইল লোড করুন। ফাইলের নামের জন্য একটি পরম পথ ব্যবহার করুন বা
বর্তমান পথের সাথে সম্পর্কিত একটি পথ। আরও তথ্যের জন্য, দেখুন নিরাপত্তা প্রোফাইলের
নীচের অধ্যায়।
উদাহরণ:
$ firejail --profile=myprofile
--প্রোফাইল-পাথ=ডিরেক্টরি
প্রোফাইল ফাইল খুঁজতে এই ডিরেক্টরি ব্যবহার করুন. একটি পরম পথ বা একটি পথ ব্যবহার করুন
হোম ডিরেক্টরি দিয়ে শুরু ~ /। আরও তথ্যের জন্য, দেখুন নিরাপত্তা প্রোফাইলের
অধ্যায় এবং রিলোকেটিং নথিপত্র নথি পত্র in এক 5 ফায়ারজেল-প্রোফাইল.
উদাহরণ:
$ firejail --profile-path=~/myprofiles
$ firejail --profile-path=/home/netblue/myprofiles
--প্রটোকল=প্রটোকল,প্রটোকল,প্রটোকল
প্রোটোকল ফিল্টার সক্ষম করুন। ফিল্টারটি seccomp এর উপর ভিত্তি করে এবং প্রথমটি পরীক্ষা করে
সকেট সিস্টেম কলের আর্গুমেন্ট। স্বীকৃত মান: unix, inet, inet6, netlink এবং
প্যাকেট
উদাহরণ:
$ firejail --protocol=unix,inet,inet6 ফায়ারফক্স
--protocol.print=নাম
নাম দ্বারা চিহ্নিত স্যান্ডবক্সের জন্য প্রোটোকল ফিল্টার প্রিন্ট করুন।
উদাহরণ:
$ firejail --name=mybrowser firefox &
[...]
$ firejail --print.print=mybrowser
ইউনিক্স,ইননেট,ইনেট6,নেটলিংক
--protocol.print=pid
PID দ্বারা চিহ্নিত একটি স্যান্ডবক্সের জন্য প্রোটোকল ফিল্টার প্রিন্ট করুন।
উদাহরণ:
$ firejail -- তালিকা
3272:নেটব্লু:ফায়ারজেল --প্রাইভেট ফায়ারফক্স
$ firejail --protocol.print=3272
ইউনিক্স,ইননেট,ইনেট6,নেটলিংক
-- শান্ত
ফায়ারজেলের আউটপুট বন্ধ করুন।
--পঠন মাত্র=dirname_or_filename
শুধুমাত্র পঠনযোগ্য ডিরেক্টরি বা ফাইল সেট করুন।
উদাহরণ:
$ firejail -- রিড অনলি =~/.মোজিলা ফায়ারফক্স
--rlimit-fsize=সংখ্যা
সর্বাধিক ফাইলের আকার সেট করুন যা একটি প্রক্রিয়া দ্বারা তৈরি করা যেতে পারে।
--rlimit-nofile=সংখ্যা
একটি প্রক্রিয়ার মাধ্যমে খোলা যেতে পারে এমন সর্বোচ্চ সংখ্যক ফাইল সেট করুন।
--rlimit-nproc=সংখ্যা
এর আসল ব্যবহারকারী আইডির জন্য তৈরি করা যেতে পারে এমন সর্বাধিক সংখ্যক প্রসেস সেট করুন
কলিং প্রক্রিয়া।
--rlimit-sigpending=সংখ্যা
একটি প্রক্রিয়ার জন্য সর্বাধিক মুলতুবি সংকেত সেট করুন।
--স্ক্যান ARP- একটি নেটওয়ার্ক নামস্থানের ভিতর থেকে সমস্ত নেটওয়ার্ক স্ক্যান করুন। এটি সম্ভব করে তোলে
বর্তমান হোস্টে চলমান macvlan কার্নেল ডিভাইস ড্রাইভার সনাক্ত করতে।
উদাহরণ:
$ firejail --net=eth0 --স্ক্যান
--seccomp
seccomp ফিল্টার সক্ষম করুন এবং ডিফল্ট তালিকায় syscalls কালো তালিকাভুক্ত করুন। ডিফল্ট
তালিকাটি নিম্নরূপ: মাউন্ট, umount2, ptrace, kexec_load, kexec_file_load,
open_by_handle_at, init_module, Finit_module, delete_module, iopl, ioperm, swapon,
swapoff, syslog, process_vm_readv, process_vm_writev, sysfs,_sysctl, adjtimex,
clock_adjtime, lookup_dcookie, perf_event_open, fanotify_init, kcmp, add_key,
request_key, keyctl, uselib, acct, modify_ldt, pivot_root, io_setup, io_destroy,
io_getevents, io_submit, io_cancel, remap_file_pages, mbind, get_mempolicy,
set_mempolicy, migrate_pages, move_pages, vmsplice, perf_event_open এবং chroot।
উদাহরণ:
$ firejail --seccomp
--seccomp=syscall,syscall,syscall
seccomp ফিল্টার সক্ষম করুন, ডিফল্ট তালিকা এবং syscalls দ্বারা নির্দিষ্ট কালো তালিকাভুক্ত করুন
কমান্ড।
উদাহরণ:
$ firejail --seccomp=utime,utimensat,utimes ফায়ারফক্স
--seccomp.drop=syscall,syscall,syscall
seccomp ফিল্টার সক্ষম করুন, এবং কমান্ড দ্বারা নির্দিষ্ট syscalls কালো তালিকাভুক্ত করুন।
উদাহরণ:
$ firejail --seccomp.drop=utime,utimensat,utimes
--seccomp.keep=syscall,syscall,syscall
seccomp ফিল্টার সক্রিয় করুন, এবং কমান্ড দ্বারা নির্দিষ্ট syscalls সাদা তালিকাভুক্ত করুন।
উদাহরণ:
$ firejail --shell=none --seccomp.keep=poll,select,[...] transmission-gtk
--seccomp =সিস্কাল,সিস্কাল,সিস্কাল
seccomp ফিল্টার সক্ষম করুন, এবং কমান্ড দ্বারা নির্দিষ্ট syscalls জন্য ত্রুটি ফেরত দিন।
উদাহরণ: একটি ব্যাশ শেল যেখানে ফাইল মুছে ফেলা অক্ষম
$ firejail --seccomp.eperm=unlinkat
পিতামাতার পিআইডি 10662, শিশু পিআইডি 10663
শিশু প্রক্রিয়া শুরু হয়েছে
$ স্পর্শ টেস্টফাইল
$ rm টেস্টফাইল
rm: `testfile' অপসারণ করা যাবে না: অপারেশন অনুমোদিত নয়
--seccomp.print=নাম
--name বিকল্প ব্যবহার করে শুরু করা স্যান্ডবক্সের জন্য seccomp ফিল্টার প্রিন্ট করুন।
উদাহরণ:
$ firejail --name=browser firefox &
$ firejail --seccomp.print=browser
SECOMP ফিল্টার:
VALIDATE_ARCHITECTURE
EXAMINE_SYSCALL
কালো তালিকা 165 মাউন্ট
কালো তালিকা 166 umount2
কালো তালিকা 101 ptrace
BLACKLIST 246 kexec_load
BLACKLIST 304 open_by_handle_at
BLACKLIST 175 init_module
BLACKLIST 176 delete_module
কালো তালিকা 172 আইওপিএল
কালো তালিকা 173 আইওপারম
কালো তালিকা 167 স্বপন
কালো তালিকা 168 অদলবদল
কালো তালিকা 103 syslog
BLACKLIST 310 process_vm_readv
BLACKLIST 311 process_vm_writev
কালো তালিকা 133 mknod
কালো তালিকা 139 sysfs
কালো তালিকা 156 _sysctl
কালো তালিকা 159 adjtimex
BLACKLIST 305 clock_adjtime
BLACKLIST 212 lookup_dcookie
BLACKLIST 298 perf_event_open
BLACKLIST 300 fanotify_init
RETURN_ALLOW
$
--seccomp.print=pid
প্রসেস আইডি দ্বারা নির্দিষ্ট করা স্যান্ডবক্সের জন্য seccomp ফিল্টার প্রিন্ট করুন। --লিস্ট বিকল্প ব্যবহার করুন
সমস্ত সক্রিয় স্যান্ডবক্সের তালিকা পেতে।
উদাহরণ:
$ firejail -- তালিকা
10786:netblue:firejail --name=browser firefox $firejail --seccomp.print=10786
SECOMP ফিল্টার:
VALIDATE_ARCHITECTURE
EXAMINE_SYSCAL
কালো তালিকা 165 মাউন্ট
কালো তালিকা 166 umount2
কালো তালিকা 101 ptrace
BLACKLIST 246 kexec_load
BLACKLIST 304 open_by_handle_at
BLACKLIST 175 init_module
BLACKLIST 176 delete_module
কালো তালিকা 172 আইওপিএল
কালো তালিকা 173 আইওপারম
কালো তালিকা 167 স্বপন
কালো তালিকা 168 অদলবদল
কালো তালিকা 103 syslog
BLACKLIST 310 process_vm_readv
BLACKLIST 311 process_vm_writev
কালো তালিকা 133 mknod
কালো তালিকা 139 sysfs
কালো তালিকা 156 _sysctl
কালো তালিকা 159 adjtimex
BLACKLIST 305 clock_adjtime
BLACKLIST 212 lookup_dcookie
BLACKLIST 298 perf_event_open
BLACKLIST 300 fanotify_init
RETURN_ALLOW
$
--শেল=কোনটি নয়
ব্যবহারকারীর শেল ছাড়াই সরাসরি প্রোগ্রাম চালান।
উদাহরণ:
$ firejail --shell=none script.sh
--শেল=প্রোগ্রাম
ডিফল্ট ব্যবহারকারী শেল সেট করুন। -c শেল ব্যবহার করে অ্যাপ্লিকেশন চালানোর জন্য এই শেলটি ব্যবহার করুন
বিকল্প উদাহরণস্বরূপ "ফায়ারজেল --শেল =/বিন/ড্যাশ firefox" মজিলা শুরু করবে
ফায়ারফক্স হিসাবে "/বিন/ড্যাশ -c ফায়ারফক্স। ডিফল্টরূপে ব্যাশ শেল (/ বিন / বাশ) ব্যবহৃত হয়.
অপশন যেমন --zsh এবং --csh ডিফল্ট শেল সেট করতে পারে।
উদাহরণ: $firejail --shell=/বিন/ড্যাশ স্ক্রিপ্ট.শ
--শাটডাউন=নাম
--name বিকল্প ব্যবহার করে স্যান্ডবক্স বন্ধ করুন।
উদাহরণ:
$ firejail --name=mygame --caps.drop=all warzone2100 &
[...]
$ firejail -- shutdown=mygame
--শাটডাউন=পিআইডি
প্রক্রিয়া আইডি দ্বারা নির্দিষ্ট স্যান্ডবক্স বন্ধ করুন। একটি তালিকা পেতে --list বিকল্প ব্যবহার করুন
সমস্ত সক্রিয় স্যান্ডবক্স।
উদাহরণ:
$ firejail -- তালিকা
3272:নেটব্লু:ফায়ারজেল --প্রাইভেট ফায়ারফক্স
$ firejail -- shutdown=3272
--tmpfs=dirname
ডিরেক্টরি dirname-এ একটি tmpfs ফাইল সিস্টেম মাউন্ট করুন। এই বিকল্পটি শুধুমাত্র তখনই পাওয়া যায়
রুট হিসাবে স্যান্ডবক্স চলমান.
উদাহরণ:
# ফায়ারজেল --tmpfs=প্রথমেই / var
-- উপরে সর্বাধিক CPU-নিবিড় স্যান্ডবক্স নিরীক্ষণ করুন, দেখুন নিরীক্ষণ আরও বিশদ জন্য বিভাগ।
উদাহরণ:
$ firejail --top
-- ট্রেস
ট্রেস খোলা, অ্যাক্সেস এবং সংযোগ সিস্টেম কল.
উদাহরণ:
$ firejail --trace wget -q www.debian.org
পিতামাতার পিআইডি 11793, শিশু পিআইডি 11794
শিশু প্রক্রিয়া শুরু হয়েছে
1:bash: open /dev/tty
1:wget:fopen64 /etc/wgetrc
1:wget:fopen জন্য / etc / হোস্ট
1:wget:সকেট AF_INET SOCK_DGRAM IPPROTO_IP
1: wget: সংযোগ 8.8.8.8:53
1:wget:সকেট AF_INET SOCK_STREAM IPPROTO_IP
1: wget: সংযোগ 140.211.15.34:80
1:wget:fopen64 index.html.1
অভিভাবক বন্ধ করছেন, বাই...
--ট্রেসলগ
এই বিকল্পটি কালো তালিকাভুক্ত ফাইল এবং ডিরেক্টরি নিরীক্ষা সক্ষম করে। একটি বার্তা পাঠানো হয়
ফাইল বা ডিরেক্টরি অ্যাক্সেস করা হলে syslog করতে।
উদাহরণ:
$ firejail --tracelog firefox
নমুনা বার্তা:
$ sudo tail -f প্রথমেই / var / log /? Syslog- র
[...]
3 ডিসেম্বর 11:43:25 ডেবিয়ান ফায়ারজেল[70]: কালো তালিকা লঙ্ঘন - স্যান্ডবক্স 26370, exe
ফায়ারফক্স, syscall open64, পাথ / ইত্যাদি / ছায়া
3 ডিসেম্বর 11:46:17 ডেবিয়ান ফায়ারজেল[70]: কালো তালিকা লঙ্ঘন - স্যান্ডবক্স 26370, exe
ফায়ারফক্স, সিস্কাল ওপেনডির, পাথ / বুট
[...]
--গাছ সমস্ত স্যান্ডবক্সযুক্ত প্রক্রিয়াগুলির একটি গাছ প্রিন্ট করুন, দেখুন নিরীক্ষণ আরও বিশদ জন্য বিভাগ।
উদাহরণ:
$ ফায়ারজেল -- গাছ
11903:নেটব্লু:ফায়ারজেল আইসওয়েসেল
11904:নেটব্লু:আইসওয়েসেল
11957:নেটব্লু:/usr/lib/iceweasel/plugin-container
11969:নেটব্লু:ফায়ারজেল --নেট=eth0 ট্রান্সমিশন-জিটিকে
11970:নেটব্লু:ট্রান্সমিশন-জিটিকে
--ব্যবহারকারী=নতুন-ব্যবহারকারী
স্যান্ডবক্স শুরু করার আগে ব্যবহারকারীকে পরিবর্তন করুন। এই কমান্ড রুট হিসাবে চালানো উচিত.
উদাহরণ:
# ফায়ারজেল -- ব্যবহারকারী=www-ডেটা
--সংস্করণ
প্রোগ্রাম সংস্করণ প্রিন্ট করুন এবং প্রস্থান করুন।
উদাহরণ:
$ firejail -- সংস্করণ
ফায়ারজেল সংস্করণ 0.9.27
--whitelist=dirname_or_filename
হোয়াইটলিস্ট ডিরেক্টরি বা ফাইল। এই বৈশিষ্ট্যটি শুধুমাত্র ব্যবহারকারীর বাড়ির জন্য প্রয়োগ করা হয়েছে, / দেব,
/ অর্ধেক, / অপ্ট, প্রথমেই / var, এবং / tmp -র পরিবর্তে ডিরেক্টরি।
উদাহরণ:
$ firejail --whitelist=~/.মোজিলা --সাদাবাদী=~ / ডাউনলোড
$ firejail --whitelist=/tmp/.X11-ইউনিক্স --whitelist=/dev/null
$ firejail "--whitelist=/home/username/My Virtual Machines"
--zsh ডিফল্ট ব্যবহারকারী শেল হিসাবে /usr/bin/zsh ব্যবহার করুন।
উদাহরণ:
$ firejail --zsh
ট্রাফিক শপিং
নেটওয়ার্ক ব্যান্ডউইথ একটি ব্যয়বহুল সম্পদ যা একটি সিস্টেমে চলমান সমস্ত স্যান্ডবক্সের মধ্যে ভাগ করা হয়।
ট্রাফিক শেপিং ব্যবহারকারীকে পরিমাণ নিয়ন্ত্রণ করে নেটওয়ার্ক কর্মক্ষমতা বাড়াতে দেয়
স্যান্ডবক্সের মধ্যে এবং বাইরে প্রবাহিত ডেটার।
ফায়ারজেল লিনাক্স কমান্ড tc-এর উপর ভিত্তি করে একটি সাধারণ হার-সীমাবদ্ধ শেপার প্রয়োগ করে। আকৃতির
স্যান্ডবক্স স্তরে কাজ করে, এবং শুধুমাত্র নতুন নেটওয়ার্কের সাথে কনফিগার করা স্যান্ডবক্সের জন্য ব্যবহার করা যেতে পারে
নামস্থান
হার-সীমা সেট করুন:
firejail --bandwidth={name|pid} সেট নেটওয়ার্ক ডাউনলোড আপলোড
পরিষ্কার হার-সীমা:
firejail --bandwidth={name|pid} পরিষ্কার নেটওয়ার্ক
স্থিতি:
firejail --bandwidth={name|pid} অবস্থা
কোথায়:
নাম - স্যান্ডবক্স নাম
pid - স্যান্ডবক্স পিড
নেটওয়ার্ক - --নেট বিকল্প দ্বারা ব্যবহৃত নেটওয়ার্ক ইন্টারফেস
ডাউনলোড - KB/s এ ডাউনলোডের গতি (কিলোবাইট প্রতি সেকেন্ড)
আপলোড - আপলোড গতি KB/s (কিলোবাইট প্রতি সেকেন্ডে)
উদাহরণ:
$ firejail --name=mybrowser --net=eth0 firefox &
$ firejail --bandwidth=mybrowser সেট eth0 80 20
$ firejail --bandwidth=mybrowser স্থিতি
$ firejail --bandwidth=mybrowser clear eth0
নিরীক্ষণ
বিকল্প --list সমস্ত স্যান্ডবক্সের একটি তালিকা প্রিন্ট করে। প্রতিটি প্রক্রিয়া এন্ট্রি জন্য বিন্যাস হিসাবে
অনুসরণ:
পিআইডি:ইউজার:কমান্ড
অপশন --tree স্যান্ডবক্সে চলমান প্রক্রিয়ার ট্রি প্রিন্ট করে। প্রতিটি জন্য বিন্যাস
প্রক্রিয়া এন্ট্রি নিম্নরূপ:
পিআইডি:ইউজার:কমান্ড
বিকল্প --top UNIX শীর্ষ কমান্ডের অনুরূপ, তবে এটি শুধুমাত্র স্যান্ডবক্সে প্রযোজ্য।
বিকল্প --netstats নতুন নেটওয়ার্ক ইনস্টল করার সক্রিয় স্যান্ডবক্সের জন্য নেটওয়ার্ক পরিসংখ্যান প্রিন্ট করে
নামস্থান
--top এবং এর জন্য বর্ণানুক্রমিক ক্রমে উপলব্ধ ক্ষেত্রগুলি (কলাম) নীচে তালিকাভুক্ত করা হয়েছে৷
--নেটস্ট্যাট বিকল্প:
আদেশ
স্যান্ডবক্স শুরু করতে ব্যবহৃত কমান্ড।
CPU% CPU ব্যবহার, শেষ স্ক্রীন আপডেটের পর থেকে অতিবাহিত CPU সময়ের স্যান্ডবক্স শেয়ার
স্যান্ডবক্স নিয়ন্ত্রণ করার টাস্কের জন্য PID অনন্য প্রক্রিয়া আইডি।
Prcs নিয়ন্ত্রণ প্রক্রিয়া সহ স্যান্ডবক্সে চলমান প্রক্রিয়ার সংখ্যা।
RES রেসিডেন্ট মেমরি সাইজ (KiB), স্যান্ডবক্স নন-সোয়াপ করা ফিজিক্যাল মেমরি। এটি একটি সমষ্টি
স্যান্ডবক্সে চলমান সমস্ত প্রক্রিয়ার জন্য RES মান।
RX(KB/s)
নেটওয়ার্ক গতি পায়।
SHR শেয়ার্ড মেমরি সাইজ (KiB), এটি অন্যান্য প্রক্রিয়ার সাথে শেয়ার করা মেমরিকে প্রতিফলিত করে। এটা
স্যান্ডবক্সে চলমান সমস্ত প্রক্রিয়ার জন্য SHR মানের সমষ্টি, সহ
নিয়ন্ত্রণ প্রক্রিয়া।
TX(KB/s)
নেটওয়ার্ক ট্রান্সমিট গতি।
আপটাইম স্যান্ডবক্স চলার সময় ঘন্টা:মিনিট:সেকেন্ড ফরম্যাটে।
ব্যবহারকারী স্যান্ডবক্সের মালিক।
নিরাপত্তা প্রোফাইলের
প্রোফাইল ফাইল ব্যবহার করে প্রোগ্রামে বেশ কিছু কমান্ড লাইন অপশন পাঠানো যেতে পারে। ফায়ারজেল
নিম্নরূপ প্রোফাইল ফাইল নির্বাচন করুন:
1. ব্যবহারকারীর দ্বারা --প্রোফাইল বিকল্প সহ একটি প্রোফাইল ফাইল প্রদান করা হলে, প্রোফাইল ফাইলটি হল
লোড উদাহরণ:
$ firejail --profile=/home/netblue/icecat.profile icecat
প্রোফাইল /home/netblue/icecat.profile পড়া
[...]
2. যদি অ্যাপ্লিকেশনটির মতো একই নামের একটি প্রোফাইল ফাইল উপস্থিত থাকে
~/.config/firejail ডিরেক্টরি বা /etc/firejail-এ, প্রোফাইলটি লোড করা হয়।
~/.config/firejail /etc/firejail এর উপর অগ্রাধিকার নেয়। উদাহরণ:
$ firejail icecat
কমান্ডের নাম #icecat#
/home/netblue/.config/firejail ডিরেক্টরিতে icecat প্রোফাইল পাওয়া গেছে
প্রোফাইল /home/netblue/.config/firejail/icecat.profile পড়া
[...]
3. যদি স্যান্ডবক্স নিয়মিত ব্যবহারকারী বা server.profile দ্বারা শুরু করা হয় তাহলে default.profile ফাইল ব্যবহার করুন
ফাইল যদি স্যান্ডবক্স রুট দ্বারা শুরু হয়। ফায়ারজেল এই ফাইলগুলি খুঁজছে
~/.config/firejail ডিরেক্টরি, /etc/firejail ডিরেক্টরি অনুসরণ করে। ডিফল্ট নিষ্ক্রিয় করতে
প্রোফাইল লোড হচ্ছে, --noprofile কমান্ড অপশন ব্যবহার করুন। উদাহরণ:
$ ফায়ারজেল
প্রোফাইল পড়া /etc/firejail/generic.profile
পিতামাতার পিআইডি 8553, শিশু পিআইডি 8554
শিশু প্রক্রিয়া শুরু হয়েছে
[...]
$ firejail --noprofile
পিতামাতার পিআইডি 8553, শিশু পিআইডি 8554
শিশু প্রক্রিয়া শুরু হয়েছে
[...]
প্রোফাইল ফাইল সিনট্যাক্স তথ্যের জন্য ম্যান 5 ফায়ারজেল-প্রোফাইল দেখুন।
নিষিদ্ধ শেল
একটি সীমাবদ্ধ শেল কনফিগার করতে, প্রতিস্থাপন করুন / বিন / বাশ /ইত্যাসি/পাসওয়ার্ডে /usr/bin/firejail সহ
প্রতিটি ব্যবহারকারীর জন্য ফাইল যা সীমাবদ্ধ করা প্রয়োজন। বিকল্পভাবে, আপনি নির্দিষ্ট করতে পারেন
adduser কমান্ডে /usr/bin/firejail:
adduser --shell /usr/bin/firejail ব্যবহারকারীর নাম
লগইন করার পরে ফায়ারজেলে এক্সিকিউটেবল পাস করা অতিরিক্ত আর্গুমেন্ট ঘোষণা করা হয়
/etc/firejail/login.users ফাইল।
উদাহরণ
ফায়ারজেল
নিয়মিত শুরু করুন / বিন / বাশ স্যান্ডবক্সে সেশন।
ফায়ারজেল ফায়ারফক্স
মোজিলা ফায়ারফক্স শুরু করুন।
firejail --debug firefox
ফায়ারফক্স স্যান্ডবক্স ডিবাগ করুন।
ফায়ারজেল -- ব্যক্তিগত
শুরু করেছে একটি / বিন / বাশ একটি নতুন tmpfs হোম ডিরেক্টরি সহ সেশন।
ফায়ারজেল --নেট=br0 ip=10.10.20.10
শুরু করেছে একটি / বিন / বাশ একটি নতুন নেটওয়ার্ক নামস্থানে সেশন। অধিবেশন সংযুক্ত করা হয়
br0 ব্রিজ ডিভাইস ব্যবহার করে প্রধান নেটওয়ার্ক। 10.10.20.10 এর একটি IP ঠিকানা বরাদ্দ করা হয়েছে
স্যান্ডবক্সে
ফায়ারজেল --net=br0 --net=br1 --net=br2
শুরু করেছে একটি / বিন / বাশ একটি নতুন নেটওয়ার্ক নামস্থানে সেশন করুন এবং এটিকে br0, br1 এর সাথে সংযুক্ত করুন,
এবং br2 হোস্ট ব্রিজ ডিভাইস।
ফায়ারজেল -- তালিকা
সমস্ত স্যান্ডবক্স করা প্রক্রিয়া তালিকাভুক্ত করুন।
onworks.net পরিষেবা ব্যবহার করে অনলাইন ফায়ারজেল ব্যবহার করুন
