Это команда firejail, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
Firejail - программа-песочница пространств имен Linux
СИНТАКСИС
Запускаем песочницу:
firejail [ОПЦИИ] [программа и аргументы]
Формирование сетевого трафика для существующей песочницы:
firejail --bandwidth = { | } команда-пропускная способность
Мониторинг:
firejail {--list | --netstats | --top | --дерево}
Разное:
firejail {-? | --debug-caps | --debug-errnos | --debug-syscalls | --debug-протоколы
| --help | --версия}
ОПИСАНИЕ
Firejail - это программа-песочница SUID, которая снижает риск нарушения безопасности за счет
ограничение среды выполнения ненадежных приложений с помощью пространств имен Linux,
seccomp-bpf и возможности Linux. Это позволяет процессу и всем его потомкам иметь
их собственное частное представление глобально разделяемых ресурсов ядра, таких как сетевой стек,
технологический стол, монтажный стол. Firejail может работать в среде SELinux или AppArmor, а также
он интегрирован с группами управления Linux.
Написанное на C практически без зависимостей, программное обеспечение работает на любом компьютере Linux с
версия ядра 3.x или новее. Он может изолировать любые типы процессов: серверные, графические.
приложения и даже сеансы входа в систему.
Firejail позволяет пользователю управлять безопасностью приложений с помощью профилей безопасности. Каждый
Профиль определяет набор разрешений для определенного приложения или группы приложений.
Программное обеспечение включает профили безопасности для ряда более распространенных программ Linux, таких как
как Mozilla Firefox, Chromium, VLC, Transmission и т. д.
ИСПОЛЬЗОВАНИЕ
Без каких-либо опций песочница состоит из файловой системы chroot, построенной в новом монтировании.
пространство имен и новые пространства имен PID и UTS. Могут быть добавлены IPC, сетевые и пользовательские пространства имен
используя параметры командной строки. Файловая система Firejail по умолчанию основана на хосте.
файловая система с основными каталогами смонтирована только для чтения. Только / Главная и / Tmp доступны для записи.
При запуске Firejail пытается найти профиль безопасности на основе имени
применение. Если подходящий профиль не найден, Firejail будет использовать профиль по умолчанию.
Профиль по умолчанию довольно строгий. Если приложение не работает, используйте
--noprofile, чтобы отключить его. Для получения дополнительной информации см. БЕЗОПАСНОСТЬ ПРОФИЛИ
.
Если аргумент программы не указан, запускается Firejail. / bin / bash оболочка. Примеры:
$ firejail [OPTIONS] # запуск / bin / bash оболочка
$ firejail [OPTIONS] firefox # запуск Mozilla Firefox
# sudo firejail [ОПЦИИ] /etc/init.d/nginx start
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-- Сигнализирует об окончании опций и отключает дальнейшую обработку опций.
--bandwidth = имя
Установите ограничения пропускной способности для песочницы, идентифицируемой по имени, см. ТРАФИК ФОРМИРОВАНИЕ
раздел для более подробной информации.
--bandwidth = pid
Установите ограничения пропускной способности для песочницы, идентифицированной PID, см. ТРАФИК ФОРМИРОВАНИЕ .
Больше подробностей.
--bind = dirname1, dirname2
Mount-bind dirname1 поверх dirname2. Эта опция доступна только при запуске
песочница как root.
Пример:
# firejail --bind = / config / www,/ Вар / WWW
--bind = имя_файла1, имя_файла2
Смонтировать-привязать имя_файла1 к имени_файла2. Эта опция доступна, только если
работает как root.
Пример:
# firejail --bind = / config / etc / passwd,/ И т.д. / пароль
--blacklist = dirname_or_filename
Каталог или файл черного списка.
Пример:
$ firejail --blacklist =/ SBIN --blacklist =/ usr / sbin
$ firejail --blacklist =~ / .mozilla
$ firejail "--blacklist = / home / username / Мои виртуальные машины"
-c Выполнить команду и выйти.
--шапки Возможности Linux - это функция ядра, предназначенная для разделения привилегий root на
набор различных привилегий. Эти привилегии можно включить или отключить.
независимо, тем самым ограничивая то, что процесс, запущенный как root, может делать в
системы.
По умолчанию корневые программы запускаются со всеми включенными возможностями. Параметр --caps отключает
следующие возможности: CAP_SYS_MODULE, CAP_SYS_RAWIO, CAP_SYS_BOOT,
CAP_SYS_NICE, CAP_SYS_TTY_CONFIG, CAP_SYSLOG, CAP_MKNOD, CAP_SYS_ADMIN. Фильтр
применяется ко всем процессам, запущенным в песочнице.
Пример:
$ sudo firejail --caps "/etc/init.d/nginx start && sleep inf"
--caps.drop = все
Отбросьте все возможности для процессов, запущенных в песочнице. Этот вариант
рекомендуется для запуска программ с графическим интерфейсом или любой другой программы, не требующей root
привилегии. Это обязательная опция для изолирования установленных ненадежных программ.
из неофициальных источников - таких как игры, Java-программы и т. д.
Пример:
$ firejail --caps.drop = все warzone2100
--caps.drop = возможность, возможность, возможность
Определите настраиваемый фильтр возможностей Linux из черного списка.
Пример:
$ firejail --caps.keep = net_broadcast, net_admin, net_raw
--caps.keep = возможность, возможность, возможность
Определите настраиваемый белый список фильтров возможностей Linux.
Пример:
$ sudo firejail --caps.keep = chown, net_bind_service, setgid, \ setuid
/etc/init.d/nginx старт
Небольшое примечание о смешивании параметров --whitelist и --read-only. В белом списке
каталоги должны быть независимо доступны только для чтения. Делаем родительский каталог читаемым -
только, белый список не будет доступен только для чтения. Пример:
$ firejail --whitelist =~ / работа --read-only = ~ / --read-only =~ / работа
--caps.print = имя
Распечатайте фильтр заглавных букв для песочницы, идентифицированной по имени.
Пример:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --caps.print = mygame
--caps.print = pid
Распечатайте фильтр caps для песочницы, идентифицированной PID.
Пример:
$ firejail --список
3272: netblue: firejail - частный firefox
$ firejail --caps.print = 3272
--cgroup = файл задач
Поместите песочницу в указанную контрольную группу. файл задач - это полный путь к
файл задач cgroup.
Пример:
# firejail --cgroup = / sys / fs / cgroup / g1 / tasks
--chroot = dirname
Переключите песочницу в корневую файловую систему. Если песочница запущена как обычная
пользователя, фильтры seccomp и возможностей по умолчанию включены.
Пример:
$ firejail --chroot = / media / ubuntu warzone2100
--cpu = номер процессора, номер процессора, номер процессора
Установите соответствие ЦП.
Пример:
$ firejail --cpu = 0,1 ручной тормоз
--csh Используйте / bin / csh в качестве пользовательской оболочки по умолчанию.
Пример:
$ фаерджейл --csh
--отлаживать
Распечатать отладочные сообщения.
Пример:
$ firejail - отладка firefox
--debug-черные списки
Черный список отладки.
Пример:
$ firejail --debug-черный список Firefox
--debug-caps
Распечатайте все распознанные возможности в текущей сборке программного обеспечения Firejail и выйдите.
Пример:
$ firejail --debug-caps
--debug-проверить-имя-файла
Проверка имени файла отладки.
Пример:
$ firejail --debug-check-filename firefox
--debug-errnos
Распечатайте все распознанные номера ошибок в текущей сборке программного обеспечения Firejail и выйдите.
Пример:
$ firejail --debug-errnos
--debug-протоколы
Распечатайте все распознанные протоколы в текущей сборке программного обеспечения Firejail и выйдите.
Пример:
$ firejail --debug-протоколы
--debug-системные вызовы
Распечатайте все распознанные системные вызовы в текущей сборке программного обеспечения Firejail и выйдите.
Пример:
$ firejail --debug-системные вызовы
--debug-whitels
Белый список отладки.
Пример:
$ firejail --debug-белые списки firefox
--defaultgw = адрес
Используйте этот адрес в качестве шлюза по умолчанию в новом сетевом пространстве имен.
Пример:
$ firejail --net = eth0 --defaultgw = 10.10.20.1 firefox
--dns = адрес
Установите DNS-сервер для песочницы. Можно определить до трех DNS-серверов. Использовать это
вариант, если вы не доверяете настройке DNS в вашей сети.
Пример:
$ firejail --dns = 8.8.8.8 --dns = 8.8.4.4 firefox
--dns.print = имя
Распечатайте конфигурацию DNS для песочницы, идентифицированной по имени.
Пример:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --dns.print = mygame
--dns.print = pid
Распечатайте конфигурацию DNS для песочницы, идентифицированной PID.
Пример:
$ firejail --список
3272: netblue: firejail - частный firefox
$ firejail --dns.print = 3272
--env = имя = значение
Установите переменную среды в новой песочнице.
Пример:
$ firejail --env = LD_LIBRARY_PATH = / opt / test / lib
--сила
По умолчанию, если Firejail запускается в существующей песочнице, он запускает программу.
в оболочке bash. Эта опция отключает такое поведение и пытается запустить
Firejail в существующей песочнице. Причин неудачи может быть множество,
например, если существующая песочница отключает возможности администратора, двоичные файлы SUID или
если он запускает seccomp.
--fs.print = имя
Распечатайте журнал файловой системы для песочницы, идентифицированной по имени.
Пример:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --fs.print = mygame
--fs.print = pid
Распечатайте журнал файловой системы для песочницы, идентифицированной PID.
Пример:
$ firejail --список
3272: netblue: firejail - частный firefox
$ firejail --fs.print = 3272
-?, --Помогите
Параметры печати конец выход.
--hostname = имя
Задайте имя хоста песочницы.
Пример:
$ firejail --hostname = officepc firefox
--ignore = команда
Игнорировать команду в файле профиля.
Пример:
$ firejail --ignore = оболочка --ignore = seccomp firefox
--interface = интерфейс
Переместить интерфейс в новое сетевое пространство имен. Можно выбрать до четырех вариантов интерфейса.
указано.
Пример:
$ firejail --interface = eth1 --interface = eth0.vlan100
--ip = адрес
Назначьте IP-адреса последнему сетевому интерфейсу, заданному параметром --net. А
шлюз по умолчанию назначается по умолчанию.
Пример:
$ firejail --net = eth0 --ip = 10.10.20.56 firefox
--ip = нет
Для последнего определенного интерфейса не настроены IP-адрес и шлюз по умолчанию.
с помощью опции --net. Используйте эту опцию, если вы собираетесь запустить внешний DHCP.
клиент в песочнице.
Пример:
$ firejail --net = eth0 --ip = none
--ip6 = адрес
Назначьте IPv6-адреса последнему сетевому интерфейсу, заданному параметром --net.
Пример:
$ firejail --net=eth0 --ip6=2001:0db8:0:f101::1/64 firefox
--iprange = адрес, адрес
Назначьте IP-адрес в указанном диапазоне последнему сетевому интерфейсу, определенному
параметр --net. По умолчанию назначается шлюз по умолчанию.
Пример:
$ firejail --net = eth0 --iprange = 192.168.1.100,192.168.1.150
--ipc-пространство имен
Включите новое пространство имен IPC, если песочница была запущена от имени обычного пользователя. МПК
пространство имен включено по умолчанию для песочниц, запущенных от имени пользователя root.
Пример:
$ firejail --ipc-namespace Firefox
--join = имя
Присоединяйтесь к песочнице, обозначенной по имени. По умолчанию / bin / bash оболочка запускается после
присоединение к песочнице. Если программа указана, программа запускается в песочнице.
Если команда --join выдается от имени обычного пользователя, все фильтры безопасности настроены.
для нового процесса они же настроены в песочнице. Если - присоединиться к команде
выдается как root, фильтры безопасности, cgroups и cpus конфигурации не
применяется к процессу присоединения к песочнице.
Пример:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --join = mygame
--join = pid
Присоединяйтесь к песочнице, идентифицированной идентификатором процесса. По умолчанию / bin / bash оболочка запущена
после присоединения к песочнице. Если программа указана, программа запускается в
песочница. Если команда --join выдается от имени обычного пользователя, все фильтры безопасности
настроены для нового процесса так же, как они настроены в песочнице. Если
Команда --join выдается как root, фильтры безопасности, cgroups и cpus
конфигурации не применяются к процессу, присоединяющемуся к песочнице.
Пример:
$ firejail --список
3272: netblue: firejail - частный firefox
$ firejail --join = 3272
--join-filesystem = имя
Присоединяйтесь к пространству имен монтирования песочницы, идентифицированной по имени. По умолчанию / bin / bash
оболочка запускается после присоединения к песочнице. Если программа указана, программа
запускается в песочнице. Эта команда доступна только пользователю root. Безопасность
фильтры, контрольные группы и конфигурации процессоров не применяются к процессу, присоединяющемуся к
песочница.
--join-filesystem = pid
Присоединитесь к пространству имен монтирования песочницы, идентифицированной идентификатором процесса. По умолчанию
/ bin / bash оболочка запускается после присоединения к песочнице. Если программа указана,
программа запускается в песочнице. Эта команда доступна только пользователю root.
Фильтры безопасности, контрольные группы и конфигурации процессоров не применяются к процессу.
присоединение к песочнице.
--join-network = имя
Присоединяйтесь к сетевому пространству имен песочницы, идентифицированной по имени. По умолчанию
/ bin / bash оболочка запускается после присоединения к песочнице. Если программа указана,
программа запускается в песочнице. Эта команда доступна только пользователю root.
Фильтры безопасности, контрольные группы и конфигурации процессоров не применяются к процессу.
присоединение к песочнице.
--join-network = pid
Присоединитесь к сетевому пространству имен песочницы, идентифицированной идентификатором процесса. По умолчанию
/ bin / bash оболочка запускается после присоединения к песочнице. Если программа указана,
программа запускается в песочнице. Эта команда доступна только пользователю root.
Фильтры безопасности, контрольные группы и конфигурации процессоров не применяются к процессу.
присоединение к песочнице.
--список Список всех песочниц см. МОНИТОРИНГ раздел для более подробной информации.
Пример:
$ firejail --список
7015: netblue: firejail firefox
7056: netblue: firejail --net = eth0 передача-gtk
7064: netblue: firejail --noroot xterm
$
--mac = адрес
Назначьте MAC-адреса последнему сетевому интерфейсу, заданному параметром --net.
Пример:
$ firejail --net = eth0 --mac = 00: 11: 22: 33: 44: 55 firefox
--mtu = число
Присвойте значение MTU последнему сетевому интерфейсу, определенному параметром --net.
Пример:
$ firejail --net = eth0 --mtu = 1492
--name = имя
Задайте имя песочницы. Это имя можно использовать в нескольких параметрах, таких как --join и --shutdown.
для определения песочницы.
Пример:
$ firejail --name = mybrowser firefox
--net = интерфейс_моста
Включите новое сетевое пространство имен и подключите его к этому интерфейсу моста. Пока не
указывается с помощью опции --ip и --defaultgw, IP-адрес и шлюз по умолчанию
будет автоматически назначен песочнице. IP-адрес проверяется с помощью ARP
перед переуступкой. Адрес, настроенный в качестве шлюза по умолчанию, является устройством моста.
Айпи адрес. Можно определить до четырех сетевых мостовых устройств. Мостик для смешивания и
Устройства macvlan разрешены.
Пример:
$ sudo brctl addbr br0
$ sudo ifconfig br0 10.10.20.1/24
$ sudo brctl addbr br1
$ sudo ifconfig br1 10.10.30.1/24
$ firejail --net = br0 --net = br1
--net = ethernet_interface
Включите новое сетевое пространство имен и подключите его к этому интерфейсу Ethernet с помощью
стандартный драйвер Macvlan для Linux. Если не указано с опциями --ip и --defaultgw,
IP-адрес и шлюз по умолчанию будут автоматически назначены песочнице.
Перед назначением IP-адрес проверяется с помощью ARP. Адрес настроен как
шлюз по умолчанию - это шлюз хоста по умолчанию. Можно подключить до четырех сетевых устройств.
определенный. Допускается смешивание устройств моста и macvlan.
Пример:
$ firejail --net = eth0 --ip = 192.168.1.80 --dns = 8.8.8.8 firefox
--net = нет
Включите новое, неподключенное сетевое пространство имен. Единственный интерфейс, доступный в
new namespace - это новый интерфейс обратной петли (lo). Используйте эту опцию, чтобы запретить сеть
доступ к программам, которым действительно не нужен сетевой доступ.
Пример:
$ firejail --net = нет vlc
--netfilter
Включите сетевой фильтр клиента по умолчанию в новом сетевом пространстве имен. Новая сеть
пространства имен создаются с использованием опции --net. Если новое сетевое пространство имен не
created, опция --netfilter ничего не делает. Фильтр по умолчанию выглядит следующим образом:
*фильтр
: INPUT DROP [0: 0]
: FORWARD DROP [0: 0]
: ВЫХОД ПРИНЯТЬ [0: 0]
-A ВВОД -i lo -j ПРИНЯТЬ
-A INPUT -m state --state СВЯЗАН, УСТАНОВЛЕН -j ПРИНЯТЬ
-A INPUT -p icmp --icmp-type-destination-unreachable -j ACCEPT
-A ВХОД -p icmp --icmp-type превышенное время -j ПРИНЯТЬ
-A ВХОД -p icmp --icmp-type эхо-запрос -j ПРИНЯТЬ
COMMIT
Пример:
$ firejail --net = eth0 --netfilter firefox
--netfilter = имя файла
Включите сетевой фильтр, указанный по имени файла в новом сетевом пространстве имен. В
Формат файла filter - это формат команд iptables-save и iptable-restore.
Новые сетевые пространства имен создаются с использованием опции --net. Если новое сетевое пространство имен
не создается, опция --netfilter ничего не делает.
В каталоге / etc / firejail доступны следующие фильтры:
веб-сервер.net это фильтр веб-сервера, который разрешает доступ только к TCP-портам 80 и
443. Пример:
$ firejail --netfilter = / etc / firejail / webserver.net --net = eth0 \
/etc/init.d/apache2 Начало
nolocal.net это клиентский фильтр, отключающий доступ к локальной сети. Пример:
$ firejail --netfilter = / etc / firejail / nolocal.net \
--net = eth0 firefox
--netfilter6 = имя файла
Включите сетевой фильтр IPv6, указанный по имени файла в новом сетевом пространстве имен.
Формат файла фильтра - это формат ip6tables-save и ip6table-restore.
команды. Новые сетевые пространства имен создаются с использованием опции --net. Если новая сеть
пространства имен не создаются, опция --netfilter6 ничего не делает.
--netstats
Мониторинг статистики сетевого пространства имен, см. МОНИТОРИНГ раздел для более подробной информации.
Пример:
$ firejail --netstats
PID User RX (KB / s) TX (KB / s) Команда
1294 netblue 53.355 1.473 firejail --net = eth0 firefox
7383 netblue 9.045 0.112 firejail --net = передача по eth0
--noblacklist = dirname_or_filename
Отключить черный список для этого каталога или файла.
Пример:
$ пожарная тюрьма
$nc dict.org 2628
удар: / bin / nc: Доступ запрещен
$ выход
$ firejail --noblacklist =/ bin / nc
$nc dict.org 2628
220 pan.alephnull.com dictd 1.12.1 / rf в Linux 3.14-1-amd64
--nogroups
Отключите дополнительные группы. Без этой опции включены дополнительные группы.
для пользователя, запускающего песочницу. Для пользователя root дополнительные группы всегда
отключен.
Пример:
$ идентификатор
uid = 1000 (netblue) gid = 1000 (netblue)
groups=1000(netblue),24(cdrom),25(floppy),27(sudo),29(audio)
$ firejail --nogroups
Родительский идентификатор 8704, дочерний идентификатор 8705
Дочерний процесс инициализирован
$ идентификатор
uid = 1000 (netblue) gid = 1000 (netblue) groups = 1000 (netblue)
$
--noprofile
Не используйте профиль безопасности.
Пример:
$ пожарная тюрьма
Чтение профиля /etc/firejail/generic.profile
Родительский идентификатор 8553, дочерний идентификатор 8554
Дочерний процесс инициализирован
[...]
$ firejail --noprofile
Родительский идентификатор 8553, дочерний идентификатор 8554
Дочерний процесс инициализирован
[...]
--нет корня
Установите пространство имен пользователя с одним пользователем - текущим пользователем. пользователь root не
существуют в новом пространстве имен. Для этого варианта требуется ядро Linux версии 3.8 или
новее. Параметр не поддерживается для конфигураций --chroot и --overlay, или
для песочниц, запускаемых с правами root.
Пример:
$ firejail --noroot
Родительский идентификатор 8553, дочерний идентификатор 8554
Дочерний процесс инициализирован
$ пинг google.com
ping: icmp open socket: операция не разрешена
$
--без звука
Отключить звуковую систему.
Пример:
$ firejail --nosound Firefox
--output = файл журнала
ведение журнала stdout и ротация журналов. Скопируйте стандартный вывод в файл журнала и сохраните размер
файл размером менее 500 КБ с использованием ротации журналов. Пять файлов с префиксами от .1 до .5 используются в
вращение.
Пример:
$ firejail --output = sandboxlog / bin / bash
[...]
$ ls -l sandboxlog *
-rw-r - r-- 1 netblue netblue 333890 2 июня 07:48 sandboxlog
-rw-r - r-- 1 netblue netblue 511488 2 июня 07:48 sandboxlog.1
-rw-r - r-- 1 netblue netblue 511488 2 июня 07:48 sandboxlog.2
-rw-r - r-- 1 netblue netblue 511488 2 июня 07:48 sandboxlog.3
-rw-r - r-- 1 netblue netblue 511488 2 июня 07:48 sandboxlog.4
-rw-r - r-- 1 netblue netblue 511488 2 июня 07:48 sandboxlog.5
- наложение
Смонтируйте оверлей файловой системы поверх текущей файловой системы. Вся файловая система
модификации идут в оверлей. Оверлей хранится в $ HOME / .firejail.
каталог.
Для работы этой опции в ядре Linux требуется поддержка OverlayFS. OverlayFS
был официально представлен в ядре Linux версии 3.18
Пример:
$ firejail --оверлей Firefox
--overlay-tmpfs
Смонтируйте оверлей файловой системы поверх текущей файловой системы. Вся файловая система
модификации попадают в оверлей и отменяются при закрытии песочницы.
Для работы этой опции в ядре Linux требуется поддержка OverlayFS. OverlayFS
был официально представлен в ядре Linux версии 3.18
Пример:
$ firejail --overlay-tmpfs Firefox
--частный
Смонтировать новый / Корень и каталоги / home / user во временных файловых системах. Все
модификации отменяются при закрытии песочницы.
Пример:
$ firejail - частный firefox
--private = каталог
Использовать каталог как домашний каталог пользователя.
Пример:
$ firejail --private = / home / netblue / firefox-home firefox
--private-bin = файл, файл
Построить новый / бен во временной файловой системе и скопируйте программы из списка. В
тот же каталог также монтируется через привязку / SBIN, / USR / бен и / usr / sbin.
Пример:
$ firejail --private-bin = bash, sed, ls, cat
Родительский идентификатор 20841, дочерний идентификатор 20842
Дочерний процесс инициализирован
$ лс / бен
баш котик ls sed
--private-dev
Создать новый / DEV каталог. Только dri, null, full, zero, tty, pts, ptmx, random,
Доступны устройства urandom, log и shm.
Пример:
$ firejail --private-dev
Родительский идентификатор 9887, дочерний идентификатор 9888
Дочерний процесс инициализирован
$ лс / DEV
dri полный журнал null ptmx pts random shm tty urandom ноль
$
--private-etc = файл, каталог
Построить новый / и т.д. во временной файловой системе и скопируйте файлы и каталоги в
список. Все модификации отменяются при закрытии песочницы.
Пример:
$ firejail --private-etc = группа, имя хоста, локальное время, \
nsswitch.conf, passwd, resolv.conf
--private-tmp
Смонтируйте пустую временную файловую систему поверх / Tmp каталог.
Пример:
$ firejail --private-tmp
--profile = имя файла
Загрузите настраиваемый профиль безопасности из имени файла. Для имени файла используйте абсолютный путь или
путь относительно текущего пути. Для получения дополнительной информации см. БЕЗОПАСНОСТЬ ПРОФИЛИ
раздел ниже.
Пример:
$ firejail --profile = myprofile
--profile-path = каталог
Используйте этот каталог для поиска файлов профиля. Используйте абсолютный путь или путь в
домашний каталог, начинающийся с ~ /. Для получения дополнительной информации см. БЕЗОПАСНОСТЬ ПРОФИЛИ
раздел ниже и ПЕРЕНОС ПРОФИЛЬ FILES in человек 5 firejail-профиль.
Пример:
$ firejail --profile-path =~ / myprofiles
$ firejail --profile-path = / home / netblue / myprofiles
--protocol = протокол, протокол, протокол
Включить фильтр протокола. Фильтр основан на seccomp и проверяет первый
аргумент системного вызова сокета. Распознаваемые значения: unix, inet, inet6, netlink и
пакет.
Пример:
$ firejail --protocol = unix, inet, inet6 firefox
--protocol.print = имя
Распечатайте фильтр протокола для песочницы, идентифицированной по имени.
Пример:
$ firejail --name = mybrowser firefox &
[...]
$ firejail --print.print = mybrowser
unix, inet, inet6, netlink
--protocol.print = pid
Распечатайте фильтр протокола для песочницы, идентифицированной PID.
Пример:
$ firejail --список
3272: netblue: firejail - частный firefox
$ firejail --protocol.print = 3272
unix, inet, inet6, netlink
--тихий
Отключите вывод Firejail.
--read-only = dirname_or_filename
Установить каталог или файл только для чтения.
Пример:
$ firejail - только чтение =~ / .mozilla светлячок
--rlimit-fsize = число
Установите максимальный размер файла, который может быть создан процессом.
--rlimit-nofile = число
Установите максимальное количество файлов, которые может открыть процесс.
--rlimit-nproc = число
Установите максимальное количество процессов, которые могут быть созданы для реального идентификатора пользователя
вызывающий процесс.
--rlimit-sigpending = число
Установите максимальное количество ожидающих сигналов для процесса.
- сканировать ARP-сканирование всех сетей из сетевого пространства имен. Это дает возможность
для обнаружения драйверов устройств ядра macvlan, работающих на текущем хосте.
Пример:
$ firejail --net = eth0 --scan
--seccomp
Включите фильтр seccomp и внесите системные вызовы в черный список по умолчанию. По умолчанию
список выглядит следующим образом: mount, umount2, ptrace, kexec_load, kexec_file_load,
open_by_handle_at, init_module,finit_module, delete_module, iopl, ioperm, swapon,
swapoff, системный журнал, process_vm_readv, process_vm_writev, sysfs, _sysctl, adjtimex,
clock_adjtime, Lookup_dcookie, perf_event_open, fanotify_init, kcmp, add_key,
request_key, keyctl, uselib, acct, mod_ldt, pivot_root, io_setup, io_destroy,
io_getevents, io_submit, io_cancel, remap_file_pages, mbind, get_mempolicy,
set_mempolicy, migrate_pages, move_pages, vmsplice, perf_event_open и chroot.
Пример:
$ firejail --seccomp
--seccomp = системный вызов, системный вызов, системный вызов
Включите фильтр seccomp, внесите в черный список список по умолчанию и системные вызовы, указанные в
команда.
Пример:
$ firejail --seccomp = utime, utimensat, utimes firefox
--seccomp.drop = системный вызов, системный вызов, системный вызов
Включите фильтр seccomp и внесите в черный список системные вызовы, указанные в команде.
Пример:
$ firejail --seccomp.drop = utime, utimensat, utimes
--seccomp.keep = системный вызов, системный вызов, системный вызов
Включите фильтр seccomp и внесите в белый список системные вызовы, указанные в команде.
Пример:
$ firejail --shell = none --seccomp.keep = опрос, выбор, [...] передача-gtk
--seccomp. = системный вызов, системный вызов, системный вызов
Включите фильтр seccomp и верните errno для системных вызовов, указанных в команде.
Пример: оболочка Bash, в которой отключено удаление файлов.
$ firejail --seccomp.eperm = unlinkat
Родительский идентификатор 10662, дочерний идентификатор 10663
Дочерний процесс инициализирован
$ сенсорный тестовый файл
$ rm тестовый файл
rm: невозможно удалить `testfile ': операция запрещена
--seccomp.print = имя
Распечатайте фильтр seccomp для песочницы, запущенной с параметром --name.
Пример:
$ firejail --name = браузер Firefox &
$ firejail --seccomp.print = браузер
Фильтр SECCOMP:
VALIDATE_АРХИТЕКТУРА
EXAMINE_SYSCALL
ЧЕРНЫЙ СПИСОК 165 крепление
ЧЕРНЫЙ СПИСОК 166 umount2
ЧЕРНЫЙ СПИСОК 101 ptrace
ЧЕРНЫЙ СПИСОК 246 kexec_load
ЧЕРНЫЙ СПИСОК 304 open_by_handle_at
ЧЕРНЫЙ СПИСОК 175 init_module
ЧЕРНЫЙ СПИСОК 176 delete_module
ЧЕРНЫЙ СПИСОК 172 iopl
ЧЕРНЫЙ СПИСОК 173 иоперм
ЧЕРНЫЙ СПИСОК 167 подкачки
ЧЕРНЫЙ СПИСОК 168 подкачки
Системный журнал BLACKLIST 103
ЧЕРНЫЙ СПИСОК 310 process_vm_readv
ЧЕРНЫЙ СПИСОК 311 process_vm_writev
ЧЕРНЫЙ СПИСОК 133 мкнод
ЧЕРНЫЙ СПИСОК 139 sysfs
ЧЕРНЫЙ СПИСОК 156 _sysctl
ЧЕРНЫЙ СПИСОК 159 adjtimex
ЧЕРНЫЙ СПИСОК 305 clock_adjtime
ЧЕРНЫЙ СПИСОК 212 lookup_dcookie
ЧЕРНЫЙ СПИСОК 298 perf_event_open
ЧЕРНЫЙ СПИСОК 300 fanotify_init
RETURN_ALLOW
$
--seccomp.print = pid
Распечатайте фильтр seccomp для песочницы, заданной идентификатором процесса. Используйте параметр --list
чтобы получить список всех активных песочниц.
Пример:
$ firejail --список
10786: netblue: firejail --name = браузер firefox $ firejail --seccomp.print = 10786
Фильтр SECCOMP:
VALIDATE_АРХИТЕКТУРА
EXAMINE_SYSCAL
ЧЕРНЫЙ СПИСОК 165 крепление
ЧЕРНЫЙ СПИСОК 166 umount2
ЧЕРНЫЙ СПИСОК 101 ptrace
ЧЕРНЫЙ СПИСОК 246 kexec_load
ЧЕРНЫЙ СПИСОК 304 open_by_handle_at
ЧЕРНЫЙ СПИСОК 175 init_module
ЧЕРНЫЙ СПИСОК 176 delete_module
ЧЕРНЫЙ СПИСОК 172 iopl
ЧЕРНЫЙ СПИСОК 173 иоперм
ЧЕРНЫЙ СПИСОК 167 подкачки
ЧЕРНЫЙ СПИСОК 168 подкачки
Системный журнал BLACKLIST 103
ЧЕРНЫЙ СПИСОК 310 process_vm_readv
ЧЕРНЫЙ СПИСОК 311 process_vm_writev
ЧЕРНЫЙ СПИСОК 133 мкнод
ЧЕРНЫЙ СПИСОК 139 sysfs
ЧЕРНЫЙ СПИСОК 156 _sysctl
ЧЕРНЫЙ СПИСОК 159 adjtimex
ЧЕРНЫЙ СПИСОК 305 clock_adjtime
ЧЕРНЫЙ СПИСОК 212 lookup_dcookie
ЧЕРНЫЙ СПИСОК 298 perf_event_open
ЧЕРНЫЙ СПИСОК 300 fanotify_init
RETURN_ALLOW
$
--shell = нет
Запустите программу напрямую, без пользовательской оболочки.
Пример:
$ firejail --shell = нет script.sh
--shell = программа
Установить оболочку пользователя по умолчанию. Используйте эту оболочку для запуска приложения с помощью -c shell
вариант. Например, firejail --shell =/ bin / dash firefox "запустит Mozilla
Firefox как "/ bin / dash -c firefox ". По умолчанию оболочка Bash (/ bin / bash) используется.
Такие параметры, как --zsh и --csh, также могут установить оболочку по умолчанию.
Пример: $ firejail --shell =/ bin / dash скрипт.sh
--shutdown = имя
Завершение работы песочницы, запущенной с использованием параметра --name.
Пример:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --shutdown = mygame
--shutdown = pid
Выключите песочницу, указанную идентификатором процесса. Используйте параметр --list, чтобы получить список
все активные песочницы.
Пример:
$ firejail --список
3272: netblue: firejail - частный firefox
$ firejail --shutdown = 3272
--tmpfs = имя каталога
Смонтируйте файловую систему tmpfs в каталоге dirname. Эта опция доступна, только если
запускать песочницу как root.
Пример:
# firejail --tmpfs =/ вар
--Топ Наблюдайте за песочницами с наиболее интенсивной загрузкой ЦП, см. МОНИТОРИНГ раздел для более подробной информации.
Пример:
$ Firejail --top
--след
Отслеживайте системные вызовы open, access и connect.
Пример:
$ firejail --trace wget -q www.debian.org
Родительский идентификатор 11793, дочерний идентификатор 11794
Дочерний процесс инициализирован
1: bash: открыть / dev / tty
1: wget: fopen64 / и т.д. / wgetrc
1: wget: fopen / Etc / хостов
1: wget: сокет AF_INET SOCK_DGRAM IPPROTO_IP
1: wget: подключение 8.8.8.8:53
1: wget: сокет AF_INET SOCK_STREAM IPPROTO_IP
1: wget: подключение 140.211.15.34:80
1: wget: fopen64 index.html.1
родитель закрывается, пока ...
--tracelog
Эта опция включает аудит файлов и каталогов, занесенных в черный список. Сообщение отправлено
в системный журнал в случае доступа к файлу или каталогу.
Пример:
$ firejail --tracelog firefox
Примеры сообщений:
$ судо хвост -f / Вар / Журнал / системный журнал
[...]
3 декабря 11:43:25 debian firejail [70]: нарушение черного списка - песочница 26370, exe
firefox, системный вызов open64, путь / И т.д. / тень
3 декабря 11:46:17 debian firejail [70]: нарушение черного списка - песочница 26370, exe
firefox, системный вызов opendir, путь / загрузки
[...]
--дерево Распечатайте дерево всех изолированных процессов, см. МОНИТОРИНГ раздел для более подробной информации.
Пример:
$ firejail - дерево
11903: netblue: firejail iceweasel
11904: netblue: iceweasel
11957: netblue: / usr / lib / iceweasel / плагин-контейнер
11969: netblue: firejail --net = eth0 передача-gtk
11970: netblue: передача-gtk
--user = новый пользователь
Смените пользователя перед запуском песочницы. Эту команду следует запускать от имени пользователя root.
Пример:
# firejail --user = www-data
--версия
Распечатать версию программы и выйти.
Пример:
$ firejail --версия
firejail версии 0.9.27
--whitelist = dirname_or_filename
Каталог или файл белого списка. Эта функция реализована только для дома пользователя, / DEV,
/средства массовой информации, / неавтоматического, / вари / Tmp каталоги.
Пример:
$ firejail --whitelist =~ / .mozilla --whitelist =~ / Загрузки
$ firejail --whitelist =/tmp/.X11-unix --whitelist = / dev / null
$ firejail "--whitelist = / home / username / Мои виртуальные машины"
--зш Используйте / usr / bin / zsh в качестве пользовательской оболочки по умолчанию.
Пример:
$ Firejail --zsh
ТРАФИК ФОРМИРОВАНИЕ
Пропускная способность сети - это дорогостоящий ресурс, совместно используемый всеми песочницами, работающими в системе.
Формирование трафика позволяет пользователю повысить производительность сети, контролируя количество
данных, которые поступают в песочницу и из нее.
Firejail реализует простой формирователь ограничения скорости, основанный на команде Linux tc. Формирователь
работает на уровне песочницы и может использоваться только для песочниц, настроенных с новой сетью
пространства имен.
Установите ограничения скорости:
firejail --bandwidth = {name | pid} установить загрузку загрузки по сети
Четкие ограничения скорости:
firejail --bandwidth = {name | pid} очистить сеть
Статус:
firejail --bandwidth = {name | pid} статус
где:
name - название песочницы
pid - pid песочницы
network - сетевой интерфейс, используемый опцией --net
download - скорость загрузки в КБ / с (килобайт в секунду)
upload - скорость выгрузки в КБ / с (килобайт в секунду)
Пример:
$ firejail --name = mybrowser --net = eth0 firefox &
$ firejail --bandwidth = mybrowser set eth0 80 20
$ firejail --bandwidth = статус mybrowser
$ firejail --bandwidth = mybrowser clear eth0
МОНИТОРИНГ
Опция --list выводит список всех песочниц. Формат каждой записи процесса следующий:
следующим образом:
PID: ПОЛЬЗОВАТЕЛЬ: Команда
Опция --tree печатает дерево процессов, запущенных в песочнице. Формат для каждого
запись процесса выглядит следующим образом:
PID: ПОЛЬЗОВАТЕЛЬ: Команда
Опция --top похожа на команду UNIX top, но применяется только к песочницам.
Опция --netstats печатает сетевую статистику для активных песочниц, устанавливающих новую сеть.
пространства имен.
Ниже перечислены доступные поля (столбцы) в алфавитном порядке для --top и
Параметры --netstat:
Command
Команда, используемая для запуска песочницы.
CPU% CPU usage, доля песочницы в затраченном времени ЦП с момента последнего обновления экрана.
PID Уникальный идентификатор процесса для задачи, управляющей песочницей.
Prcs Количество процессов, запущенных в изолированной программной среде, включая контролирующий процесс.
Размер резидентной памяти RES (КиБ), физическая память без подкачки в песочнице. Это сумма
значения RES для всех процессов, запущенных в песочнице.
RX (КБ / с)
Скорость приема сети.
SHR Shared Memory Size (KiB), он отражает память, совместно используемую с другими процессами. Это
сумма значений SHR для всех процессов, запущенных в песочнице, включая
процесс контроля.
TX (КБ / с)
Скорость передачи по сети.
Uptime Время работы песочницы в формате часы: минуты: секунды.
Пользователь Владелец песочницы.
БЕЗОПАСНОСТЬ ПРОФИЛИ
Некоторые параметры командной строки могут быть переданы программе с помощью файлов профиля. Firejail
выбирает файл профиля следующим образом:
1. Если файл профиля предоставлен пользователем с параметром --profile, файл профиля будет
загружен. Пример:
$ firejail --profile = / home / netblue / icecat.profile icecat
Чтение профиля /home/netblue/icecat.profile
[...]
2. Если файл профиля с тем же именем, что и приложение, присутствует в
~ / .config / firejail каталог или в / etc / firejail профиль загружается.
~ / .config / firejail имеет приоритет над / etc / firejail. Пример:
$ пожарная тюрьма
Имя команды # icecat #
Найден профиль icecat в каталоге /home/netblue/.config/firejail
Чтение профиля /home/netblue/.config/firejail/icecat.profile
[...]
3. Используйте файл default.profile, если песочница запускается обычным пользователем, или server.profile.
файл, если песочница запускается от root. Firejail ищет эти файлы в
~ / .config / firejail каталог, за которым следует каталог / etc / firejail. Чтобы отключить по умолчанию
загрузка профиля, используйте параметр команды --noprofile. Пример:
$ пожарная тюрьма
Чтение профиля /etc/firejail/generic.profile
Родительский идентификатор 8553, дочерний идентификатор 8554
Дочерний процесс инициализирован
[...]
$ firejail --noprofile
Родительский идентификатор 8553, дочерний идентификатор 8554
Дочерний процесс инициализирован
[...]
См. Информацию о синтаксисе файла профиля в man 5 firejail-profile.
ОГРАНИЧЕННЫЕ SHELL
Чтобы настроить ограниченную оболочку, замените / bin / bash с / usr / bin / firejail в / etc / password
файл для каждого пользователя, которого необходимо ограничить. В качестве альтернативы вы можете указать
/ usr / bin / firejail в команде adduser:
adduser --shell / usr / bin / firejail имя пользователя
Дополнительные аргументы, передаваемые исполняемому файлу firejail при входе в систему, объявлены в
Файл /etc/firejail/login.users.
ПРИМЕРЫ
пожарная тюрьма
Начать регулярный / bin / bash сессия в песочнице.
файртюрьма фаерфокс
Запустите Mozilla Firefox.
firejail - отладка firefox
Отладка песочницы Firefox.
firejail - частный
Начать / bin / bash сеанс с новым домашним каталогом tmpfs.
firejail --net = br0 ip = 10.10.20.10
Начать / bin / bash сеанс в новом сетевом пространстве имен. Сессия подключена к
основная сеть с использованием мостового устройства br0. Назначен IP-адрес 10.10.20.10.
в песочницу.
firejail --net = br0 --net = br1 --net = br2
Начать / bin / bash сеанс в новом сетевом пространстве имен и подключите его к br0, br1,
и хост-мосты br2.
пожарная тюрьма --список
Перечислите все изолированные процессы.
Используйте firejail онлайн с помощью сервисов onworks.net
