Sécuriser Linux avec la sandbox Firejail

Ce sujet a 1 réponse, 2 participants et a été mis à jour par jibel jibel, il y a 1 an et 3 mois.

2 sujets de 1 à 2 (sur un total de 2)
  • Auteur
    Messages
  • #5994
    nam1962
    nam1962
    Admin bbPress

    Les OS Linux sont très sécurisés par essence (ils séparent structurellement l’administration de l’utilisation).

    Ils sont très réactifs à toute alerte de sécurité gràce au modèle open source et à la communauté qui l’anime.

    Cela dit, “trop fort n’a jamais manqué” comme disent les marins.

    De nombreux logiciels communiquent avec l’extérieur et l’extérieur est tout plein de vilains méchants.

    Les navigateurs et clients mails, par exemple sont directement au front.

    C’est là qu’intervient Firejail, Firejail est une sandbox qui tire parti des fonctionnalités du noyau (kernel) Linux, avec des méthode proches des containers comme Docker, mais avec une exploitation toute différente.

     

    Une Sandbox (bac à sable ou prison, selon la traduction) crée un espace privatif à l’intérieur de votre installation, espace qui n’a aucun accès possible au système.
    Comme les containers, elle gère un ensemble de ressources à l’intérieur d’un environnement contrôlé.

    Firejail est dans les dépôts de la majorité des distributions, pour l’installer c’est tout simple :

    Ubuntu, Xubuntu et autres variantes, ainsi que Debian :

    sudo apt install firejail
    

    Manjaro, et toute Arch Linux ou dérivée :

    sudo pacman -S firejail
    

    Ensuite, il vous suffit de lancer le programme que vous voulez isoler avec :

    firejail monsuperprogramme
    

    Je vais un peu plus loin et crée des lanceurs sur le bureau (que je glisse le cas échéant dans mes docks), pour cela, clic droit sur le bureau, [créer un lanceur], vous entrez le nom de l’application et la commande)

    Pour Firefox :

    firejail firefox %u
    

    Pour Thunderbird :

    firejail thunderbird %u
    

    Pour Qupzilla :

    firejail qupzilla %u
    

    Etc (il vous suffit d’avoir le nom de l’application que vous souhaitez lancer en mode sandbox)

    Sur mes ordinateurs, je ne sens aucune différence de performance.

    Si vous êtes un particulier, administrateur de votre propre ordi, je vous conseille cette méthode : dans certains cas, un site légitime peut être limité, il peut être judicieux de garder la possibilité de lancer l’appli classiquement.

    Attention, Firefox ou Thunderbird étant isolé, vous ne pourrez pas forcément interagir avec votre système, par exemple vous ne pourrez d’accéder à vos documents, images, etc… ce qui est ennuyeux quand par exemple on veut héberger une image sur TdCT ou ajouter une pièce jointe à un mail ! Pour pallier ce problème il y a la possibilité de créer des profils personnalisés dans Firejail.

    Si vous êtes une entreprise, je vous conseille d’être totalement strict sur votre parc et de forcer le démarrage en sandbox :

    Par exemple pour firefox

    cp  /usr/share/applications/firefox.desktop ~/.local/share/applications
    sed -i 's/Exec=firefox/Exec=firejail firefox/g' .local/share/applications/firefox.desktop
    

    (vous pouvez toujours revenir à l’install par défaut avec :

    rm  ~/.local/share/applications/firefox.desktop
    

    ? Un jeune site que j'aime bien, la ferrari du T-shirt  ...bio en plus : https://goudronblanc.com
    C'est notre mécène ! 🙂

    #6006
    jibel
    jibel
    Modérateur

    Salut Nam,
    Très intéressant ce système de sécure… Je vais tester installer ce truc, suivre tes conseils .. Tiens, d’ailleurs je viens pour une fois, avec W$ 7 obligé de faire QQs MàJs , c’est kif-kif, j’ai eu la version de T.B. 52 alors que c’était la version 45 de T.B. avant…A chaque fois il faut faire des trucs dans l’OS dont ne s’en sert plus beaucoup @+ jibel 😎 😎


    ? Toutes les fautes : orthographe, syntaxe, grammaire, vocabulaire, conjugaison...sont ma propriété intellectuelle...néanmoins elles peuvent & doivent être corrigées, modifiées sans qu'on me demande mon avis...Non mais   😎

2 sujets de 1 à 2 (sur un total de 2)

Vous devez être connecté pour répondre à ce sujet.