Sécuriser Linux avec la sandbox Firejail

Affichage de 1 message (sur 1 au total)
  • Auteur
    Articles
  • #5994
    nam1962nam1962
    Maître des clés

    Les OS Linux sont très sécurisés par essence (ils séparent structurellement l’administration de l’utilisation).

    Ils sont très réactifs à toute alerte de sécurité gràce au modèle open source et à la communauté qui l’anime.

    Cela dit, « trop fort n’a jamais manqué » comme disent les marins.

    De nombreux logiciels communiquent avec l’extérieur et l’extérieur est tout plein de vilains méchants.

    Les navigateurs et clients mails, par exemple sont directement au front.

    C’est là qu’intervient Firejail, Firejail est une sandbox qui tire parti des fonctionnalités du noyau (kernel) Linux, avec des méthode proches des containers comme Docker, mais avec une exploitation toute différente.

     

    Une Sandbox (bac à sable ou prison, selon la traduction) crée un espace privatif à l’intérieur de votre installation, espace qui n’a aucun accès possible au système.
    Comme les containers, elle gère un ensemble de ressources à l’intérieur d’un environnement contrôlé.

    Firejail est dans les dépôts de la majorité des distributions, pour l’installer c’est tout simple :

    Ubuntu, Xubuntu et autres variantes, ainsi que Debian :

    sudo apt install firejail
    

    Manjaro, et toute Arch Linux ou dérivée :

    sudo pacman -S firejail
    

    Ensuite, il vous suffit de lancer le programme que vous voulez isoler avec :

    firejail monsuperprogramme
    

    Je vais un peu plus loin et crée des lanceurs sur le bureau (que je glisse le cas échéant dans mes docks), pour cela, clic droit sur le bureau, [créer un lanceur], vous entrez le nom de l’application et la commande)

    Pour Firefox :

    firejail firefox %u
    

    Pour Thunderbird :

    firejail thunderbird %u
    

    Pour Qupzilla :

    firejail qupzilla %u
    

    Etc (il vous suffit d’avoir le nom de l’application que vous souhaitez lancer en mode sandbox)

    Sur mes ordinateurs, je ne sens aucune différence de performance.

    Si vous êtes un particulier, administrateur de votre propre ordi, je vous conseille cette méthode : dans certains cas, un site légitime peut être limité, il peut être judicieux de garder la possibilité de lancer l’appli classiquement.

    Attention, Firefox ou Thunderbird étant isolé, vous ne pourrez pas forcément interagir avec votre système, par exemple vous ne pourrez d’accéder à vos documents, images, etc… ce qui est ennuyeux quand par exemple on veut héberger une image sur TdCT ou ajouter une pièce jointe à un mail ! Pour pallier ce problème il y a la possibilité de créer des profils personnalisés dans Firejail.

    Si vous êtes une entreprise, je vous conseille d’être totalement strict sur votre parc et de forcer le démarrage en sandbox :

    Par exemple pour firefox

    cp  /usr/share/applications/firefox.desktop ~/.local/share/applications
    sed -i 's/Exec=firefox/Exec=firejail firefox/g' .local/share/applications/firefox.desktop
    

    (vous pouvez toujours revenir à l’install par défaut avec :

    rm  ~/.local/share/applications/firefox.desktop
    

    Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc

Affichage de 1 message (sur 1 au total)
  • Vous devez être connecté pour répondre à ce sujet.