l’Almanet doLys Gnu/Linux – Open Source – Entreprises › Forums › L’almanet doLys Open Source › Sécuriser Linux avec la sandbox Firejail
Mots-clés : bac à sable, debian, firefox, linux, manjaro, sandbox, Sécuriser, sécurité, thunderbird, Xubuntu
- This topic has 0 réponse, 1 participant, and was last updated il y a 7 years et 2 months by nam1962.
-
AuteurArticles
-
septembre 13, 2017 à 3:40 pm #5994nam1962Keymaster
Les OS Linux sont très sécurisés par essence (ils séparent structurellement l’administration de l’utilisation).
Ils sont très réactifs à toute alerte de sécurité gràce au modèle open source et à la communauté qui l’anime.
Cela dit, « trop fort n’a jamais manqué » comme disent les marins.
De nombreux logiciels communiquent avec l’extérieur et l’extérieur est tout plein de vilains méchants.
Les navigateurs et clients mails, par exemple sont directement au front.
C’est là qu’intervient Firejail, Firejail est une sandbox qui tire parti des fonctionnalités du noyau (kernel) Linux, avec des méthode proches des containers comme Docker, mais avec une exploitation toute différente.
Une Sandbox (bac à sable ou prison, selon la traduction) crée un espace privatif à l’intérieur de votre installation, espace qui n’a aucun accès possible au système.
Comme les containers, elle gère un ensemble de ressources à l’intérieur d’un environnement contrôlé.Firejail est dans les dépôts de la majorité des distributions, pour l’installer c’est tout simple :
Ubuntu, Xubuntu et autres variantes, ainsi que Debian :
sudo apt install firejail
Manjaro, et toute Arch Linux ou dérivée :
sudo pacman -S firejail
Ensuite, il vous suffit de lancer le programme que vous voulez isoler avec :
firejail monsuperprogramme
Je vais un peu plus loin et crée des lanceurs sur le bureau (que je glisse le cas échéant dans mes docks), pour cela, clic droit sur le bureau, [créer un lanceur], vous entrez le nom de l’application et la commande)
Pour Firefox :
firejail firefox %u
Pour Thunderbird :
firejail thunderbird %u
Pour Qupzilla :
firejail qupzilla %u
Etc (il vous suffit d’avoir le nom de l’application que vous souhaitez lancer en mode sandbox)
Sur mes ordinateurs, je ne sens aucune différence de performance.
Si vous êtes un particulier, administrateur de votre propre ordi, je vous conseille cette méthode : dans certains cas, un site légitime peut être limité, il peut être judicieux de garder la possibilité de lancer l’appli classiquement.
Attention, Firefox ou Thunderbird étant isolé, vous ne pourrez pas forcément interagir avec votre système, par exemple vous ne pourrez d’accéder à vos documents, images, etc… ce qui est ennuyeux quand par exemple on veut héberger une image sur TdCT ou ajouter une pièce jointe à un mail ! Pour pallier ce problème il y a la possibilité de créer des profils personnalisés dans Firejail.
Si vous êtes une entreprise, je vous conseille d’être totalement strict sur votre parc et de forcer le démarrage en sandbox :
Par exemple pour firefox
cp /usr/share/applications/firefox.desktop ~/.local/share/applications sed -i 's/Exec=firefox/Exec=firejail firefox/g' .local/share/applications/firefox.desktop
(vous pouvez toujours revenir à l’install par défaut avec :
rm ~/.local/share/applications/firefox.desktop
Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
-
AuteurArticles
- Vous devez être connecté pour répondre à ce sujet.