firejail - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

Firejail - Chương trình hộp cát không gian tên Linux

SYNOPSIS

Khởi động hộp cát:

firejail [OPTIONS] [chương trình và đối số]

Định hình lưu lượng mạng cho một hộp cát hiện có:

firejail --bandwidth = { | } băng thông-lệnh

Giám sát:

firejail {- danh sách | --netstats | --top | --cây}

Các loại khác:

chim lửa {-? | --debug-mũ | --debug-errnos | --debug-syscalls | --debug-giao thức
| - trợ giúp | --phiên bản}

MÔ TẢ

Firejail là một chương trình hộp cát SUID giúp giảm nguy cơ vi phạm bảo mật bằng cách
hạn chế môi trường chạy của các ứng dụng không đáng tin cậy bằng cách sử dụng không gian tên Linux,
khả năng của seccomp-bpf và Linux. Nó cho phép một quá trình và tất cả các con cháu của nó có
chế độ xem riêng tư của họ về các tài nguyên nhân được chia sẻ toàn cầu, chẳng hạn như ngăn xếp mạng,
bảng quá trình, bảng gắn kết. Firejail có thể hoạt động trong môi trường SELinux hoặc AppArmor và
nó được tích hợp với Nhóm điều khiển Linux.

Được viết bằng C hầu như không có phụ thuộc, phần mềm chạy trên bất kỳ máy tính Linux nào có
phiên bản hạt nhân 3.x hoặc mới hơn. Nó có thể sandbox bất kỳ loại quy trình nào: máy chủ, đồ họa
ứng dụng và thậm chí cả phiên đăng nhập của người dùng.

Firejail cho phép người dùng quản lý bảo mật ứng dụng bằng các cấu hình bảo mật. Mỗi
hồ sơ xác định một tập hợp các quyền cho một ứng dụng hoặc nhóm ứng dụng cụ thể.
Phần mềm bao gồm các cấu hình bảo mật cho một số chương trình Linux phổ biến hơn, chẳng hạn như
như Mozilla Firefox, Chromium, VLC, Transmission, v.v.

SỬ DỤNG

Không có bất kỳ tùy chọn nào, hộp cát bao gồm một bản dựng hệ thống tệp chroot trong một ngàm mới
không gian tên và không gian tên PID và UTS mới. IPC, mạng và không gian tên người dùng có thể được thêm vào
bằng cách sử dụng các tùy chọn dòng lệnh. Hệ thống tệp Firejail mặc định dựa trên máy chủ
hệ thống tập tin với các thư mục chính được gắn kết chỉ đọc. Chỉ một / Home và / Tmp có thể ghi được.

Khi khởi động, Firejail cố gắng tìm một hồ sơ bảo mật dựa trên tên của
ứng dụng. Nếu không tìm thấy cấu hình thích hợp, Firejail sẽ sử dụng cấu hình mặc định.
Cấu hình mặc định khá hạn chế. Trong trường hợp ứng dụng không hoạt động, hãy sử dụng
--noprofile tùy chọn để vô hiệu hóa nó. Để biết thêm thông tin, vui lòng xem AN NINH HỒ SƠ
phần.

Nếu một đối số chương trình không được chỉ định, thì Firejail sẽ bắt đầu / bin / bash vỏ bọc. Ví dụ:

$ firejail [OPTIONS] # bắt đầu một / bin / bash shell

$ firejail [OPTIONS] firefox # khởi động Mozilla Firefox

# sudo firejail [TÙY CHỌN] /etc/init.d/nginx start

LỰA CHỌN

-- Báo hiệu sự kết thúc của các tùy chọn và vô hiệu hóa quá trình xử lý tùy chọn tiếp theo.

- băng thông = tên
Đặt giới hạn băng thông cho hộp cát được xác định bằng tên, xem GIAO THÔNG ĐỊNH HÌNH
để biết thêm chi tiết.

- băng thông = pid
Đặt giới hạn băng thông cho hộp cát được PID xác định, xem GIAO THÔNG ĐỊNH HÌNH phần
để biết thêm chi tiết.

--bind = dirname1, dirname2
Gắn kết-ràng buộc dirname1 trên đầu dirname2. Tùy chọn này chỉ khả dụng khi chạy
hộp cát làm gốc.

Ví dụ:
# firejail --bind = / config / www,/ var / www

--bind = filename1, filename2
Gắn kết-ràng buộc tên tệp1 trên đầu tên tệp2. Tùy chọn này chỉ khả dụng khi
chạy dưới dạng root.

Ví dụ:
# firejail --bind = / config / etc / passwd,/ etc / passwd

--blacklist = dirname_or_filename
Thư mục hoặc tệp danh sách đen.

Ví dụ:
$ firejail --blacklist =/ sbin --blacklist =/ usr / sbin
$ firejail --blacklist =~ / .mozilla
$ firejail "--blacklist = / home / username / My Virtual Machines"

-c Thực hiện lệnh và thoát.

--mũ Các khả năng của Linux là một tính năng nhân được thiết kế để chia đặc quyền root thành
một tập hợp các đặc quyền riêng biệt. Các đặc quyền này có thể được bật hoặc tắt
độc lập, do đó hạn chế những gì một tiến trình chạy dưới quyền root có thể làm trong
hệ thống.

Theo mặc định, các chương trình gốc chạy với tất cả các chức năng được kích hoạt. - tùy chọncaps vô hiệu hóa
các khả năng sau: CAP_SYS_MODULE, CAP_SYS_RAWIO, CAP_SYS_BOOT,
CAP_SYS_NICE, CAP_SYS_TTY_CONFIG, CAP_SYSLOG, CAP_MKNOD, CAP_SYS_ADMIN. Bộ lọc
được áp dụng cho tất cả các quy trình bắt đầu trong hộp cát.

Ví dụ:
$ sudo firejail --caps "/etc/init.d/nginx start && sleep inf"

--caps.drop = tất cả
Bỏ tất cả các khả năng cho các quy trình đang chạy trong hộp cát. Tùy chọn này là
được khuyến nghị để chạy các chương trình GUI hoặc bất kỳ chương trình nào khác không yêu cầu root
đặc quyền. Đây là một tùy chọn cần phải có để cài đặt các chương trình không đáng tin cậy trong hộp cát
từ các nguồn không chính thức - chẳng hạn như trò chơi, chương trình Java, v.v.

Ví dụ:
$ firejail --caps.drop = all warzone2100

--caps.drop = khả năng, khả năng, khả năng
Xác định một bộ lọc khả năng Linux danh sách đen tùy chỉnh.

Ví dụ:
$ firejail --caps.keep = net_broadcast, net_admin, net_raw

--caps.keep = khả năng, khả năng, khả năng
Xác định bộ lọc khả năng Linux danh sách trắng tùy chỉnh.

Ví dụ:
$ sudo firejail --caps.keep = chown, net_bind_service, setgid, \ setuid
/etc/init.d/nginx bắt đầu

Một lưu ý ngắn về trộn các tùy chọn - danh sách trắng và - chỉ đọc. Được đưa vào danh sách trắng
các thư mục nên được đặt ở chế độ chỉ đọc một cách độc lập. Làm cho một thư mục mẹ được đọc-
duy nhất, sẽ không làm cho danh sách trắng ở chế độ chỉ đọc. Thí dụ:
$ firejail --whitelist =~ / công việc - chỉ đọc = ~ / - chỉ đọc =~ / công việc

--caps.print = tên
In bộ lọc mũ cho hộp cát được xác định theo tên.

Ví dụ:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --caps.print = mygame

--caps.print = pid
In bộ lọc mũ cho hộp cát được PID xác định.

Ví dụ:
$ firejail - danh sách
3272: netblue: firejail - firefox riêng tư
$ firejail --caps.print = 3272

--cgroup = task-file
Đặt hộp cát vào nhóm điều khiển được chỉ định. task-file là đường dẫn đầy đủ của
tệp nhiệm vụ cgroup.

Ví dụ:
# firejail --cgroup = / sys / fs / cgroup / g1 / task

--chroot = dirname
Chuyển hộp cát vào hệ thống tệp gốc. Nếu hộp cát được khởi động như thường lệ
người dùng, seccomp mặc định và bộ lọc khả năng được bật.

Ví dụ:
$ firejail --chroot = / media / ubuntu warzone2100

--cpu = cpu-number, cpu-number, cpu-number
Đặt mối quan hệ với CPU.

Ví dụ:
$ firejail --cpu = 0,1 phanh tay

--csh Sử dụng / bin / csh làm trình bao mặc định của người dùng.

Ví dụ:
$ firejail --csh

--gỡ lỗi
In thông báo gỡ lỗi.

Ví dụ:
$ firejail --debug firefox

--debug-danh sách đen
Gỡ lỗi danh sách đen.

Ví dụ:
$ firejail --debug-danh sách đen firefox

--debug-mũ
In tất cả các khả năng được công nhận trong bản dựng và thoát phần mềm Firejail hiện tại.

Ví dụ:
$ firejail --debug-caps

--debug-check-filename
Gỡ lỗi kiểm tra tên tệp.

Ví dụ:
$ firejail --debug-check-filename firefox

--debug-errnos
In tất cả các số lỗi được nhận dạng trong bản dựng và thoát phần mềm Firejail hiện tại.

Ví dụ:
$ firejail --debug-errnos

--debug-giao thức
In tất cả các giao thức được công nhận trong bản dựng và thoát phần mềm Firejail hiện tại.

Ví dụ:
$ firejail --debug-protocol

--debug-tòa nhà chọc trời
In tất cả các lệnh gọi hệ thống được công nhận trong bản dựng và thoát phần mềm Firejail hiện tại.

Ví dụ:
$ firejail --debug-syscalls

--debug-whitelists
Gỡ lỗi danh sách trắng.

Ví dụ:
$ firejail --debug-danh sách trắng firefox

--defaultgw = địa chỉ
Sử dụng địa chỉ này làm cổng mặc định trong không gian tên mạng mới.

Ví dụ:
$ firejail --net = eth0 --defaultgw = 10.10.20.1 firefox

--dns = địa chỉ
Đặt máy chủ DNS cho hộp cát. Có thể xác định tối đa ba máy chủ DNS. Dùng cái này
nếu bạn không tin tưởng vào thiết lập DNS trên mạng của mình.

Ví dụ:
$ firejail --dns = 8.8.8.8 --dns = 8.8.4.4 firefox

--dns.print = tên
In cấu hình DNS cho hộp cát được xác định bằng tên.

Ví dụ:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --dns.print = mygame

--dns.print = pid
In cấu hình DNS cho hộp cát được PID xác định.

Ví dụ:
$ firejail - danh sách
3272: netblue: firejail - firefox riêng tư
$ firejail --dns.print = 3272

--env = name = value
Đặt biến môi trường trong hộp cát mới.

Ví dụ:
$ firejail --env = LD_LIBRARY_PATH = / opt / test / lib

--lực lượng
Theo mặc định, nếu Firejail được khởi động trong hộp cát hiện có, nó sẽ chạy chương trình
trong một lớp vỏ bash. Tùy chọn này vô hiệu hóa hành vi này và cố gắng bắt đầu
Firejail trong hộp cát hiện có. Có thể có rất nhiều lý do khiến nó không thành công,
ví dụ: nếu hộp cát hiện có vô hiệu hóa khả năng quản trị viên, mã nhị phân SUID hoặc
nếu nó chạy seccomp.

--fs.print = name
In nhật ký hệ thống tệp cho hộp cát được xác định bằng tên.

Ví dụ:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --fs.print = mygame

--fs.print = pid
In nhật ký hệ thống tệp cho hộp cát được PID xác định.

Ví dụ:
$ firejail - danh sách
3272: netblue: firejail - firefox riêng tư
$ firejail --fs.print = 3272

-?, --Cứu giúp
Tùy chọn in kết thúc thoát.

--hostname = tên
Đặt tên máy chủ hộp cát.

Ví dụ:
$ firejail --hostname = officepc firefox

--ignore = lệnh
Bỏ qua lệnh trong tệp hồ sơ.

Ví dụ:
$ firejail --ignore = shell --ignore = seccomp firefox

--interface = giao diện
Di chuyển giao diện trong một không gian tên mạng mới. Lên đến bốn - tùy chọn giao diện có thể
được chỉ định.

Ví dụ:
$ firejail --interface = eth1 --interface = eth0.vlan100

--ip = địa chỉ
Gán địa chỉ IP cho giao diện mạng cuối cùng được xác định bởi tùy chọn --net. MỘT
cổng mặc định được chỉ định theo mặc định.

Ví dụ:
$ firejail --net = eth0 --ip = 10.10.20.56 firefox

--ip = không
Không có địa chỉ IP và không có cổng mặc định nào được định cấu hình cho giao diện cuối cùng được xác định
bằng tùy chọn --net. Sử dụng tùy chọn này trong trường hợp bạn định khởi động DHCP bên ngoài
khách hàng trong hộp cát.

Ví dụ:
$ firejail --net = eth0 --ip = none

--ip6 = địa chỉ
Gán địa chỉ IPv6 cho giao diện mạng cuối cùng được xác định bởi tùy chọn --net.

Ví dụ:
$ firejail --net=eth0 --ip6=2001:0db8:0:f101::1/64 firefox

--iprange = địa chỉ, địa chỉ
Gán một địa chỉ IP trong phạm vi được cung cấp cho giao diện mạng cuối cùng được xác định bởi
một tùy chọn --net. Một cổng mặc định được chỉ định theo mặc định.

Ví dụ:
$ firejail --net = eth0 --iprange = 192.168.1.100,192.168.1.150

--ipc-không gian tên
Bật không gian tên IPC mới nếu hộp cát được khởi động với tư cách là người dùng thông thường. IPC
không gian tên được bật theo mặc định cho các hộp cát bắt đầu dưới dạng gốc.

Ví dụ:
$ firejail --ipc-không gian tên firefox

--join = tên
Tham gia hộp cát được xác định bằng tên. Theo mặc định a / bin / bash vỏ được bắt đầu sau khi
tham gia hộp cát. Nếu một chương trình được chỉ định, chương trình sẽ được chạy trong hộp cát.
Nếu lệnh --join được đưa ra với tư cách là người dùng thông thường, tất cả các bộ lọc bảo mật sẽ được định cấu hình
đối với quy trình mới, chúng cũng được định cấu hình trong hộp cát. Lệnh if --join
được phát hành dưới dạng root, các bộ lọc bảo mật, cgroups và cấu hình cpus không
được áp dụng cho quá trình tham gia hộp cát.

Ví dụ:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --join = mygame

--join = pid
Tham gia hộp cát được xác định bởi ID quy trình. Theo mặc định a / bin / bash vỏ được bắt đầu
sau khi tham gia hộp cát. Nếu một chương trình được chỉ định, chương trình sẽ được chạy trong
hộp cát. Nếu lệnh --join được đưa ra với tư cách là người dùng thông thường, tất cả các bộ lọc bảo mật sẽ
được định cấu hình cho quy trình mới giống như chúng được định cấu hình trong hộp cát. Nếu như
--join lệnh được phát hành dưới dạng root, các bộ lọc bảo mật, cgroups và cpus
cấu hình không được áp dụng cho quá trình tham gia hộp cát.

Ví dụ:
$ firejail - danh sách
3272: netblue: firejail - firefox riêng tư
$ firejail --join = 3272

--join-filesystem = name
Tham gia không gian tên gắn kết của hộp cát được xác định bằng tên. Theo mặc định a / bin / bash
shell được bắt đầu sau khi tham gia hộp cát. Nếu một chương trình được chỉ định, chương trình
được chạy trong hộp cát. Lệnh này chỉ có sẵn cho người dùng root. Bảo vệ
bộ lọc, nhóm và cấu hình cpus không được áp dụng cho quá trình tham gia
hộp cát.

--join-filesystem = pid
Tham gia không gian tên gắn kết của hộp cát được xác định bởi ID tiến trình. Theo mặc định a
/ bin / bash shell được bắt đầu sau khi tham gia hộp cát. Nếu một chương trình được chỉ định,
chương trình được chạy trong hộp cát. Lệnh này chỉ có sẵn cho người dùng root.
Bộ lọc bảo mật, nhóm và cấu hình cpus không được áp dụng cho quy trình
tham gia hộp cát.

--join-network = tên
Tham gia không gian tên mạng của hộp cát được xác định bằng tên. Theo mặc định a
/ bin / bash shell được bắt đầu sau khi tham gia hộp cát. Nếu một chương trình được chỉ định,
chương trình được chạy trong hộp cát. Lệnh này chỉ có sẵn cho người dùng root.
Bộ lọc bảo mật, nhóm và cấu hình cpus không được áp dụng cho quy trình
tham gia hộp cát.

--join-network = pid
Tham gia không gian tên mạng của hộp cát được xác định bởi ID quy trình. Theo mặc định a
/ bin / bash shell được bắt đầu sau khi tham gia hộp cát. Nếu một chương trình được chỉ định,
chương trình được chạy trong hộp cát. Lệnh này chỉ có sẵn cho người dùng root.
Bộ lọc bảo mật, nhóm và cấu hình cpus không được áp dụng cho quy trình
tham gia hộp cát.

--danh sách Liệt kê tất cả các hộp cát, xem GIÁM SÁT để biết thêm chi tiết.

Ví dụ:
$ firejail - danh sách
7015: netblue: firefox firefox
7056: netblue: firejail --net = eth0 truyền-gtk
7064: netblue: firejail --noroot xterm
$

--mac = địa chỉ
Gán địa chỉ MAC cho giao diện mạng cuối cùng được xác định bởi tùy chọn --net.

Ví dụ:
$ firejail --net = eth0 --mac = 00: 11: 22: 33: 44: 55 firefox

--mtu = số
Gán giá trị MTU cho giao diện mạng cuối cùng được xác định bởi tùy chọn --net.

Ví dụ:
$ firejail --net = eth0 --mtu = 1492

--name = tên
Đặt tên hộp cát. Một số tùy chọn, chẳng hạn như --join và --shutdown, có thể sử dụng tên này
để xác định một hộp cát.

Ví dụ:
$ firejail --name = mybrowser firefox

--net = bridge_interface
Kích hoạt một không gian tên mạng mới và kết nối nó với giao diện cầu nối này. Trừ phi
được chỉ định với tùy chọn --ip và --defaultgw, một địa chỉ IP và một cổng mặc định
sẽ được tự động gán cho hộp cát. Địa chỉ IP được xác minh bằng ARP
trước khi phân công. Địa chỉ được định cấu hình làm cổng mặc định là thiết bị cầu nối
Địa chỉ IP. Có thể xác định tối đa bốn thiết bị cầu nối mạng. Cầu trộn và
thiết bị macvlan được phép.

Ví dụ:
$ sudo brctl addbr br0
$ sudo ifconfig br0 10.10.20.1/24
$ sudo brctl addbr br1
$ sudo ifconfig br1 10.10.30.1/24
$ firejail --net = br0 --net = br1

--net = ethernet_interface
Kích hoạt một không gian tên mạng mới và kết nối nó với giao diện ethernet này bằng cách sử dụng
trình điều khiển macvlan Linux tiêu chuẩn. Trừ khi được chỉ định với tùy chọn --ip và --defaultgw,
địa chỉ IP và cổng mặc định sẽ tự động được gán cho hộp cát.
Địa chỉ IP được xác minh bằng ARP trước khi chuyển nhượng. Địa chỉ được định cấu hình là
cổng mặc định là cổng mặc định của máy chủ. Có thể lên đến bốn thiết bị mạng
được xác định. Cho phép trộn các thiết bị cầu nối và macvlan.

Ví dụ:
$ firejail --net = eth0 --ip = 192.168.1.80 --dns = 8.8.8.8 firefox

--net = không
Bật một không gian tên mạng mới, không được kết nối. Giao diện duy nhất có sẵn trong
không gian tên mới là một giao diện lặp lại mới (lo). Sử dụng tùy chọn này để từ chối mạng
truy cập vào các chương trình không thực sự cần truy cập mạng.

Ví dụ:
$ firejail --net = none vlc

--netfilter
Bật bộ lọc mạng máy khách mặc định trong không gian tên mạng mới. Mạng mới
không gian tên được tạo bằng tùy chọn --net. Nếu một không gian tên mạng mới thì không
đã tạo, tùy chọn --netfilter không làm gì cả. Bộ lọc mặc định như sau:

*lọc
: INPUT DROP [0: 0]
: TIỀN LỆNH [0: 0]
: CHẤP NHẬN ĐẦU RA [0: 0]
- ĐẦU VÀO -i lo -j CHẤP NHẬN
-Một trạng thái INPUT -m - trạng thái LIÊN QUAN, ĐÃ THÀNH LẬP -j CHẤP NHẬN
-A INPUT -p icmp - đích đến loạiicmp-không thể truy cập -j CHẤP NHẬN
-A INPUT -p icmp - loạiicmp đã vượt quá thời gian -j CHẤP NHẬN
-A INPUT -p icmp --icmp-type echo-request -j CHẤP NHẬN
CAM KẾT

Ví dụ:
$ firejail --net = eth0 --netfilter firefox

--netfilter = tên tệp
Bật bộ lọc mạng được chỉ định bởi tên tệp trong không gian tên mạng mới. Các
định dạng tệp bộ lọc là định dạng của lệnh iptables-save và iptable-restore.
Không gian tên mạng mới được tạo bằng cách sử dụng tùy chọn --net. Nếu một không gian tên mạng mới
không được tạo, tùy chọn --netfilter không làm gì cả.

Các bộ lọc sau có sẵn trong thư mục / etc / firejail:

máy chủ web.net là một bộ lọc máy chủ web chỉ cho phép truy cập vào các cổng TCP 80 và
443. Thí dụ:

$ firejail --netfilter = / etc / firejail / webserver.net --net = eth0 \
/etc/init.d/apache2 Bắt đầu

nolocal.net là một bộ lọc máy khách vô hiệu hóa quyền truy cập vào mạng cục bộ. Thí dụ:

$ firejail --netfilter = / etc / firejail / nolocal.net \
--net = eth0 firefox

--netfilter6 = tên tệp
Bật bộ lọc mạng IPv6 được chỉ định bởi tên tệp trong không gian tên mạng mới.
Định dạng tệp bộ lọc là định dạng ip6tables-save và ip6table-restore
các lệnh. Không gian tên mạng mới được tạo bằng cách sử dụng tùy chọn --net. Nếu một mạng mới
không gian tên không được tạo, tùy chọn --netfilter6 không làm gì cả.

--netstats
Theo dõi thống kê không gian tên mạng, xem GIÁM SÁT để biết thêm chi tiết.

Ví dụ:

$ firejail --netstats
Lệnh PID User RX (KB / s) TX (KB / s)
1294 netblue 53.355 1.473 firejail --net = eth0 firefox
7383 netblue 9.045 0.112 firejail --net = eth0 truyền

--noblacklist = dirname_or_filename
Vô hiệu hóa danh sách đen cho thư mục hoặc tệp này.

Ví dụ:
$ nhà tù
$nc dict.org 2628
đánh: / bin / nc: Quyền bị từ chối
$ thoát

$ firejail --noblacklist =/ bin / nc
$nc dict.org 2628
220 pan.alephnull.com dictd 1.12.1 / rf trên Linux 3.14-1-amd64

--không nhóm
Tắt các nhóm bổ sung. Nếu không có tùy chọn này, các nhóm bổ sung được bật
cho người dùng khởi động hộp cát. Đối với người dùng root, các nhóm bổ sung luôn
tàn tật.

Ví dụ:
$ id
uid = 1000 (netblue) gid = 1000 (netblue)
groups=1000(netblue),24(cdrom),25(floppy),27(sudo),29(audio)
$ firejail --nogroups
Pid mẹ 8704, pid con 8705
Quy trình con được khởi tạo
$ id
uid = 1000 (netblue) gid = 1000 (netblue) nhóm = 1000 (netblue)
$

--không có hồ sơ
Không sử dụng hồ sơ bảo mật.

Ví dụ:
$ nhà tù
Đọc hồ sơ /etc/firejail/generic.profile
Pid mẹ 8553, pid con 8554
Quy trình con được khởi tạo
[...]

$ firejail --noprofile
Pid mẹ 8553, pid con 8554
Quy trình con được khởi tạo
[...]

--noroot
Cài đặt không gian tên người dùng với một người dùng duy nhất - người dùng hiện tại. người dùng root không
tồn tại trong không gian tên mới. Tùy chọn này yêu cầu phiên bản hạt nhân Linux 3.8 hoặc
mới hơn. Tùy chọn này không được hỗ trợ cho các cấu hình --chroot và --overlay, hoặc
cho hộp cát bắt đầu dưới dạng gốc.

Ví dụ:
$ firejail --noroot
Pid mẹ 8553, pid con 8554
Quy trình con được khởi tạo
$ ping google.com
ping: icmp mở ổ cắm: Hoạt động không được phép
$

--không có âm thanh
Tắt hệ thống âm thanh.

Ví dụ:
$ firejail - Firefox tìm kiếm

--output = logfile
ghi nhật ký stdout và xoay vòng nhật ký. Sao chép stdout vào logfile và giữ nguyên kích thước của
tệp dưới 500KB sử dụng xoay vòng nhật ký. Năm tệp có tiền tố .1 đến .5 được sử dụng trong
Vòng xoay.

Ví dụ:
$ firejail --output = sandboxlog / bin / bash
[...]
$ ls -l sandboxlog *
-rw-r - r-- 1 netblue netblue 333890 2 tháng 07 48:XNUMX sandboxlog
-rw-r - r-- 1 netblue netblue 511488 2 tháng 07 48:1 sandboxlog.XNUMX
-rw-r - r-- 1 netblue netblue 511488 2 tháng 07 48:2 sandboxlog.XNUMX
-rw-r - r-- 1 netblue netblue 511488 2 tháng 07 48:3 sandboxlog.XNUMX
-rw-r - r-- 1 netblue netblue 511488 2 tháng 07 48:4 sandboxlog.XNUMX
-rw-r - r-- 1 netblue netblue 511488 2 tháng 07 48:5 sandboxlog.XNUMX

- lớp phủ
Gắn lớp phủ hệ thống tệp lên trên hệ thống tệp hiện tại. Tất cả hệ thống tệp
sửa đổi đi vào lớp phủ. Lớp phủ được lưu trữ trong $ HOME / .firejail
thư mục.

Hỗ trợ OverlayFS là cần thiết trong nhân Linux để tùy chọn này hoạt động. OverlayFS
đã chính thức được giới thiệu trong phiên bản hạt nhân Linux 3.18

Ví dụ:
$ firejail - overlay firefox

--overlay-tmpfs
Gắn lớp phủ hệ thống tệp lên trên hệ thống tệp hiện tại. Tất cả hệ thống tệp
các sửa đổi sẽ đi vào lớp phủ và bị loại bỏ khi hộp cát đóng.

Hỗ trợ OverlayFS là cần thiết trong nhân Linux để tùy chọn này hoạt động. OverlayFS
đã chính thức được giới thiệu trong phiên bản hạt nhân Linux 3.18

Ví dụ:
$ firejail --overlay-tmpfs firefox

--riêng
Gắn kết mới /nguồn gốc và / home / thư mục người dùng trong hệ thống tệp tạm thời. Tất cả các
sửa đổi bị loại bỏ khi hộp cát đóng.

Ví dụ:
$ firejail - firefox riêng tư

--private = thư mục
Sử dụng thư mục làm nhà của người dùng.

Ví dụ:
$ firejail --private = / home / netblue / firefox-home firefox

--private-bin = tệp, tệp
Xây dựng một cái mới / thùng rác trong hệ thống tệp tạm thời và sao chép các chương trình trong danh sách. Các
cùng một thư mục cũng được gắn kết trên / sbin, / usr / bin và / usr / sbin.

Ví dụ:
$ firejail --private-bin = bash, sed, ls, cat
Pid mẹ 20841, pid con 20842
Quy trình con được khởi tạo
$ls / thùng rác
bash mèo ls sed

--private-dev
Tạo một cái mới / dev danh mục. Chỉ nhỏ giọt, null, đầy đủ, không, tty, pts, ptmx, ngẫu nhiên,
các thiết bị urandom, log và shm có sẵn.

Ví dụ:
$ firejail --private-dev
Pid mẹ 9887, pid con 9888
Quy trình con được khởi tạo
$ls / dev
Dri đầy đủ nhật ký null ptmx pts ngẫu nhiên shm tty urandom zero
$

--private-etc = tệp, thư mục
Xây dựng một cái mới / Etc trong hệ thống tệp tạm thời và sao chép các tệp và thư mục trong
danh sách. Tất cả các sửa đổi sẽ bị hủy khi đóng hộp cát.

Ví dụ:
$ firejail --private-etc = group, hostname, localtime, \
nsswitch.conf, passwd, Resolutionv.conf

--riêng tư-tmp
Gắn một hệ thống tệp tạm thời trống lên trên / Tmp thư mục.

Ví dụ:
$ firejail --private-tmp

--profile = tên tệp
Tải hồ sơ bảo mật tùy chỉnh từ tên tệp. Đối với tên tệp, hãy sử dụng một đường dẫn tuyệt đối hoặc
một đường dẫn liên quan đến đường dẫn hiện tại. Để biết thêm thông tin, hãy xem AN NINH HỒ SƠ
phần bên dưới.

Ví dụ:
$ firejail --profile = myprofile

--profile-path = thư mục
Sử dụng thư mục này để tìm kiếm các tệp hồ sơ. Sử dụng một đường dẫn tuyệt đối hoặc một đường dẫn trong
thư mục chính bắt đầu bằng ~ /. Để biết thêm thông tin, xem AN NINH HỒ SƠ
phần bên dưới và DI CHUYỂN HỒ SƠ CÁC TẬP TIN in người đàn ông 5 hồ sơ lửa.

Ví dụ:
$ firejail --profile-path =~ / myprofiles
$ firejail --profile-path = / home / netblue / myprofiles

--protocol = giao thức, giao thức, giao thức
Bật bộ lọc giao thức. Bộ lọc dựa trên seccomp và kiểm tra
đối số cho lệnh gọi hệ thống ổ cắm. Các giá trị được công nhận: unix, inet, inet6, netlink và
gói.

Ví dụ:
$ firejail --protocol = unix, inet, inet6 firefox

--protocol.print = name
In bộ lọc giao thức cho hộp cát được xác định bằng tên.

Ví dụ:
$ firejail --name = mybrowser firefox &
[...]
$ firejail --print.print = mybrowser
unix, inet, inet6, netlink

--protocol.print = pid
In bộ lọc giao thức cho hộp cát được PID xác định.

Ví dụ:
$ firejail - danh sách
3272: netblue: firejail - firefox riêng tư
$ firejail --protocol.print = 3272
unix, inet, inet6, netlink

--Yên lặng
Tắt đầu ra của Firejail.

--read-only = dirname_or_filename
Đặt thư mục hoặc tệp chỉ đọc.

Ví dụ:
$ firejail - chỉ đọc =~ / .mozilla firefox

--rlimit-fsize = number
Đặt kích thước tệp tối đa có thể được tạo bởi một quy trình.

--rlimit-nofile = number
Đặt số lượng tệp tối đa có thể được mở bởi một quy trình.

--rlimit-nproc = số
Đặt số lượng quy trình tối đa có thể được tạo cho ID người dùng thực của
quá trình gọi điện.

--rlimit-ký hiệu = số
Đặt số lượng tín hiệu đang chờ xử lý tối đa cho một quá trình.

--quét ARP-quét tất cả các mạng từ bên trong một không gian tên mạng. Điều này làm cho nó có thể
để phát hiện trình điều khiển thiết bị hạt nhân macvlan đang chạy trên máy chủ hiện tại.

Ví dụ:
$ firejail --net = eth0 --scan

--seccomp
Bật bộ lọc seccomp và danh sách đen các cuộc gọi hệ thống trong danh sách mặc định. Mặc định
danh sách như sau: mount, umount2, ptrace, kexec_load, kexec_file_load,
open_by_handle_at, init_module, finit_module, delete_module, iopl, ioperm, hoán đổi,
swapoff, syslog, process_vm_readv, process_vm_writev, sysfs, _sysctl, adjtimex,
clock_adjtime, lookup_dcookie, perf_event_open, fanotify_init, kcmp, add_key,
request_key, keyctl, uselib, acct, mod_ldt, pivot_root, io_setup, io_destroy,
io_getevents, io_submit, io_cancel, remap_file_pages, mbind, get_mempolicy,
set_mempolicy, migrate_pages, move_pages, vmsplice, perf_event_open và chroot.

Ví dụ:
$ firejail --seccomp

--seccomp = syscall, syscall, syscall
Bật bộ lọc seccomp, danh sách đen danh sách mặc định và cuộc gọi hệ thống được chỉ định bởi
chỉ huy.

Ví dụ:
$ firejail --seccomp = utime, utimensat, utimes firefox

--seccomp.drop = syscall, syscall, syscall
Bật bộ lọc seccomp và danh sách đen các cuộc gọi hệ thống được chỉ định bởi lệnh.

Ví dụ:
$ firejail --seccomp.drop = utime, utimensat, utimes

--seccomp.keep = syscall, syscall, syscall
Bật bộ lọc seccomp và đưa vào danh sách trắng các cuộc gọi tổng hợp được chỉ định bởi lệnh.

Ví dụ:
$ firejail --shell = none --seccomp.keep = thăm dò, chọn, [...] truyền-gtk

--seccomp. = syscall, syscall, syscall
Bật bộ lọc seccomp và trả về errno cho các cuộc gọi tổng hợp được chỉ định bởi lệnh.

Ví dụ: một trình bao Bash nơi việc xóa tệp bị vô hiệu hóa

$ firejail --seccomp.eperm = unlinkat
Pid mẹ 10662, pid con 10663
Quy trình con được khởi tạo
$ chạm vào tệp kiểm tra
tệp kiểm tra $ rm
rm: không thể loại bỏ `testfile ': Thao tác không được phép

--seccomp.print = name
In bộ lọc seccomp cho hộp cát bắt đầu sử dụng tùy chọn --name.

Ví dụ:
$ firejail --name = browser firefox &
$ firejail --seccomp.print = browser
Bộ lọc SECCOMP:
VALIDATE_KIẾN TRÚC
EXAMINE_SYSCALL
Gắn kết BLACKLIST 165
DANH SÁCH ĐEN 166 umount2
BLACKLIST 101 trang
DANH SÁCH ĐEN 246 kexec_load
DANH SÁCH ĐEN 304 open_by_handle_at
DANH SÁCH ĐEN 175 init_module
DANH SÁCH ĐEN 176 delete_module
DANH SÁCH ĐEN 172
DANH SÁCH ĐEN 173
BLACKLIST 167 trao đổi
Trao đổi BLACKLIST 168
Nhật ký hệ thống BLACKLIST 103
DANH SÁCH ĐEN 310 process_vm_readv
DANH SÁCH ĐEN 311 process_vm_writev
DANH SÁCH ĐEN 133
DANH SÁCH ĐEN 139 sysfs
DANH SÁCH ĐEN 156 _sysctl
DANH SÁCH ĐEN 159 adjtimex
DANH SÁCH ĐEN 305 clock_adjtime
DANH SÁCH ĐEN 212 lookup_dcookie
DANH SÁCH ĐEN 298 perf_event_open
DANH SÁCH ĐEN 300 fanotify_init
RETURN_ALLOW
$

--seccomp.print = pid
In bộ lọc seccomp cho hộp cát được chỉ định bởi ID quy trình. Sử dụng - tùy chọn danh sách
để nhận danh sách tất cả các hộp cát đang hoạt động.

Ví dụ:
$ firejail - danh sách
10786: netblue: firejail --name = browser firefox $ firejail --seccomp.print = 10786
Bộ lọc SECCOMP:
VALIDATE_KIẾN TRÚC
KIỂM TRA_SYSCAL
Gắn kết BLACKLIST 165
DANH SÁCH ĐEN 166 umount2
BLACKLIST 101 trang
DANH SÁCH ĐEN 246 kexec_load
DANH SÁCH ĐEN 304 open_by_handle_at
DANH SÁCH ĐEN 175 init_module
DANH SÁCH ĐEN 176 delete_module
DANH SÁCH ĐEN 172
DANH SÁCH ĐEN 173
BLACKLIST 167 trao đổi
Trao đổi BLACKLIST 168
Nhật ký hệ thống BLACKLIST 103
DANH SÁCH ĐEN 310 process_vm_readv
DANH SÁCH ĐEN 311 process_vm_writev
DANH SÁCH ĐEN 133
DANH SÁCH ĐEN 139 sysfs
DANH SÁCH ĐEN 156 _sysctl
DANH SÁCH ĐEN 159 adjtimex
DANH SÁCH ĐEN 305 clock_adjtime
DANH SÁCH ĐEN 212 lookup_dcookie
DANH SÁCH ĐEN 298 perf_event_open
DANH SÁCH ĐEN 300 fanotify_init
RETURN_ALLOW
$

--shell = không có
Chạy chương trình trực tiếp, không có trình bao người dùng.

Ví dụ:
$ firejail --shell = none script.sh

--shell = chương trình
Đặt trình bao người dùng mặc định. Sử dụng shell này để chạy ứng dụng bằng -c shell
Lựa chọn. Ví dụ: "firejail --shell =/ bin / dash firefox "sẽ khởi động Mozilla
Firefox là "/ bin / dash -c firefox ". Theo mặc định Bash shell (/ bin / bash) Được sử dụng.
Các tùy chọn như --zsh và --csh cũng có thể đặt trình bao mặc định.

Ví dụ: $ firejail --shell =/ bin / dash tập lệnh.sh

--shutdown = tên
Tắt hộp cát bắt đầu sử dụng tùy chọn --name.

Ví dụ:
$ firejail --name = mygame --caps.drop = all warzone2100 &
[...]
$ firejail --shutdown = mygame

--shutdown = pid
Tắt hộp cát được chỉ định bởi ID quy trình. Sử dụng tùy chọn --list để nhận danh sách
tất cả các hộp cát đang hoạt động.

Ví dụ:
$ firejail - danh sách
3272: netblue: firejail - firefox riêng tư
$ firejail --shutdown = 3272

--tmpfs = dirname
Gắn hệ thống tệp tmpfs vào tên thư mục. Tùy chọn này chỉ khả dụng khi
chạy hộp cát dưới dạng root.

Ví dụ:
# firejail --tmpfs =/ var

--đứng đầu Theo dõi các hộp cát sử dụng nhiều CPU nhất, xem GIÁM SÁT để biết thêm chi tiết.

Ví dụ:
$ firejail --top

--dấu vết
Theo dõi mở, truy cập và kết nối các cuộc gọi hệ thống.

Ví dụ:
$ firejail --trace wget -q www.debian.org
Pid mẹ 11793, pid con 11794
Quy trình con được khởi tạo
1: bash: open / dev / tty
1: wget: fopen64 / etc / wgetrc
1: wget: fopen / Etc / hosts
1: wget: socket AF_INET SOCK_DGRAM IPPROTO_IP
1: wget: kết nối 8.8.8.8:53
1: wget: socket AF_INET SOCK_STREAM IPPROTO_IP
1: wget: kết nối 140.211.15.34:80
1: wget: fopen64 index.html.1

cha mẹ đang tắt máy, tạm biệt ...

--dấu vết
Tùy chọn này cho phép kiểm tra các tệp và thư mục nằm trong danh sách đen. Một tin nhắn đã được gửi đi
vào nhật ký hệ thống trong trường hợp tệp hoặc thư mục được truy cập.

Ví dụ:
$ firejail --tracelog firefox

Tin nhắn mẫu:
$ sudo đuôi -f / var / log / syslog
[...]
3 tháng 11 43:25:70 debian firejail [26370]: vi phạm danh sách đen - sandbox XNUMX, exe
firefox, syscall open64, đường dẫn / etc / shadow
3 tháng 11 46:17:70 debian firejail [26370]: vi phạm danh sách đen - sandbox XNUMX, exe
firefox, opendir syscall, đường dẫn / khởi động
[...]

--cây In một cây của tất cả các quy trình hộp cát, xem GIÁM SÁT để biết thêm chi tiết.

Ví dụ:
$ firejail --cây
11903: netblue: firejail iceweasel
11904: netblue: iceweasel
11957: netblue: / usr / lib / iceweasel / plugin-container
11969: netblue: firejail --net = eth0 truyền-gtk
11970: netblue: truyền-gtk

--user = người dùng mới
Chuyển đổi người dùng trước khi khởi động hộp cát. Lệnh này phải được chạy dưới dạng root.

Ví dụ:
# firejail --user = www-data

--phiên bản
In phiên bản chương trình và thoát.

Ví dụ:
$ firejail --version
firejail phiên bản 0.9.27

--whitelist = dirname_or_filename
Danh sách trắng thư mục hoặc tệp. Tính năng này chỉ được triển khai cho người dùng gia đình, / dev,
/một nửa, /opt, / varvà / Tmp thư mục.

Ví dụ:
$ firejail --whitelist =~ / .mozilla --whitelist =~ / Tải xuống
$ firejail --whitelist =/tmp/.X11-unix --whitelist = / dev / null
$ firejail "--whitelist = / home / username / My Virtual Machines"

--zsh Sử dụng / usr / bin / zsh làm trình bao mặc định của người dùng.

Ví dụ:
$ firejail --zsh

GIAO THÔNG ĐỊNH HÌNH

Băng thông mạng là một tài nguyên đắt tiền được chia sẻ giữa tất cả các hộp cát chạy trên một hệ thống.
Định hình lưu lượng cho phép người dùng tăng hiệu suất mạng bằng cách kiểm soát lượng
dữ liệu vào và ra khỏi hộp cát.

Firejail triển khai một trình định hình giới hạn tốc độ đơn giản dựa trên lệnh tc của Linux. Người định hình
hoạt động ở cấp hộp cát và chỉ có thể được sử dụng cho các hộp cát được định cấu hình với mạng mới
không gian tên.

Đặt giới hạn tỷ lệ:

firejail --bandwidth = {name | pid} đặt tải lên mạng tải xuống

Giới hạn tỷ giá rõ ràng:

firejail --bandwidth = {name | pid} xóa mạng

Tình trạng:

trạng thái firejail --bandwidth = {name | pid}

Trong đó:
tên - tên hộp cát
pid - hộp cát pid
mạng - giao diện mạng được sử dụng bởi tùy chọn --net
tải xuống - tốc độ tải xuống tính bằng KB / s (kilobyte trên giây)
tải lên - tốc độ tải lên tính bằng KB / s (kilobyte trên giây)

Ví dụ:
$ firejail --name = mybrowser --net = eth0 firefox &
$ firejail --bandwidth = mybrowser set eth0 80 20
$ firejail --bandwidth = trạng thái trình duyệt của tôi
$ firejail --bandwidth = mybrowser clear eth0

GIÁM SÁT

Tùy chọn --list in ra danh sách tất cả các hộp cát. Định dạng cho mỗi mục nhập quy trình là
sau:

PID: USER: Lệnh

Tùy chọn --tree in cây các quy trình đang chạy trong hộp cát. Định dạng cho mỗi
quá trình nhập như sau:

PID: USER: Lệnh

Tùy chọn --top tương tự như lệnh trên cùng của UNIX, tuy nhiên nó chỉ áp dụng cho các hộp cát.

Tùy chọn --netstats in số liệu thống kê mạng cho các hộp cát đang hoạt động cài đặt mạng mới
không gian tên.

Liệt kê bên dưới là các trường (cột) có sẵn theo thứ tự bảng chữ cái cho --top và
- tùy chọn mạng:

Lệnh
Lệnh được sử dụng để khởi động hộp cát.

CPU% CPU sử dụng, chia sẻ hộp cát của thời gian CPU đã trôi qua kể từ lần cập nhật màn hình cuối cùng

PID ID quy trình duy nhất cho tác vụ điều khiển hộp cát.

Prcs Số lượng quy trình đang chạy trong hộp cát, bao gồm cả quy trình điều khiển.

RES Kích thước Bộ nhớ Thường trú (KiB), bộ nhớ vật lý không hoán đổi trong hộp cát. Nó là tổng của
các giá trị RES cho tất cả các quá trình đang chạy trong hộp cát.

RX (KB / s)
Tốc độ nhận mạng.

Kích thước bộ nhớ dùng chung SHR (KiB), nó phản ánh bộ nhớ được chia sẻ với các quy trình khác. Nó là một
tổng các giá trị SHR cho tất cả các quy trình đang chạy trong hộp cát, bao gồm
quá trình kiểm soát.

TX (KB / s)
Tốc độ truyền mạng.

Thời gian hoạt động của Hộp cát thời gian hoạt động theo định dạng giờ: phút: giây.

Người dùng Chủ sở hữu của hộp cát.

AN NINH HỒ SƠ

Một số tùy chọn dòng lệnh có thể được chuyển đến chương trình bằng cách sử dụng tệp hồ sơ. Firejail
chọn tệp hồ sơ như sau:

1. Nếu tệp hồ sơ được cung cấp bởi người dùng với tùy chọn --profile, thì tệp hồ sơ sẽ
nạp vào. Thí dụ:

$ firejail --profile = / home / netblue / icecat.profile icecat
Đọc hồ sơ /home/netblue/icecat.profile
[...]

2. Nếu một tệp hồ sơ có cùng tên với ứng dụng có trong
~ / .config / firejail thư mục hoặc trong / etc / firejail, hồ sơ được tải.
~ / .config / firejail được ưu tiên hơn / etc / firejail. Thí dụ:

$ firejail Icecat
Tên lệnh # icecat #
Đã tìm thấy hồ sơ icecat trong thư mục /home/netblue/.config/firejail
Đọc hồ sơ /home/netblue/.config/firejail/icecat.profile
[...]

3. Sử dụng tệp default.profile nếu hộp cát được khởi động bởi người dùng thông thường hoặc server.profile
nếu hộp cát được khởi động bởi root. Firejail tìm kiếm các tệp này trong
~ / .config / firejail , theo sau là thư mục / etc / firejail. Để tắt mặc định
tải hồ sơ, sử dụng tùy chọn lệnh --noprofile. Thí dụ:

$ nhà tù
Đọc hồ sơ /etc/firejail/generic.profile
Pid mẹ 8553, pid con 8554
Quy trình con được khởi tạo
[...]

$ firejail --noprofile
Pid mẹ 8553, pid con 8554
Quy trình con được khởi tạo
[...]

Xem hồ sơ firejail man 5 để biết thông tin cú pháp tệp hồ sơ.

HẠN CHẾ SHELL

Để định cấu hình một trình bao bị hạn chế, hãy thay thế / bin / bash với / usr / bin / firejail trong / etc / password
cho mỗi người dùng cần được hạn chế. Ngoài ra, bạn có thể chỉ định
/ usr / bin / firejail trong lệnh adduser:

tên người dùng adduser --shell / usr / bin / firejail

Các đối số bổ sung được chuyển đến tệp thực thi firejail khi đăng nhập được khai báo trong
tệp /etc/firejail/login.users.

VÍ DỤ

lửa
Bắt đầu thường xuyên / bin / bash phiên trong hộp cát.

firefox firefox
Khởi động Mozilla Firefox.

firejail --gỡ lỗi firefox
Gỡ lỗi hộp cát Firefox.

firejail - riêng tư
Bắt đầu một / bin / bash phiên với một thư mục chính tmpfs mới.

firejail --net = br0 ip = 10.10.20.10
Bắt đầu một / bin / bash phiên trong một không gian tên mạng mới. Phiên được kết nối với
mạng chính sử dụng thiết bị cầu br0. Địa chỉ IP của 10.10.20.10 được chỉ định
vào hộp cát.

firejail --net = br0 --net = br1 --net = br2
Bắt đầu một / bin / bash phiên trong một không gian tên mạng mới và kết nối nó với br0, br1,
và thiết bị cầu nối máy chủ br2.

firejail - danh sách
Liệt kê tất cả các quy trình hộp cát.

Sử dụng firejail trực tuyến bằng các dịch vụ onworks.net