• Home
  • Categories
  • WIKI
  • LANGUAGE: en
    • deepin 沙箱firejail
    Apps Section 2457 views · 3 replies ·
    Tofloor
    poster avatar
    深圳市耀影科技有限公司
    deepin
    2019-12-05 07:27
    Author
    https://firejail.wordpress.com/download-2/


    文件系统容器
    我们在启动沙箱时自动构建应用程序容器,并在关闭沙箱时销毁它们。该容器基于当前安装的文件系统。如果用户使用Linux发行版提供的所有安全补丁更新其系统,则这些容器也是最新的。
    文件系统操作:
    • 黑名单 –拒绝访问文件和目录。访问尝试会报告给syslog。
    • 白名单 –仅允许用户指定文件和目录。
    • 只读,读写,noexec –设置文件和目录属性。
    • 临时文件系统 –在目录顶部安装临时文件系统。
    • 绑定 –将文件或目录绑定安装在另一个文件或目录之上。
    • 专用 –挂载文件和目录的副本,并在沙箱关闭时将其丢弃。
    • 受限用户主目录–沙箱中仅提供当前用户主目录。这也反映在/ etc / passwd/ etc / group文件的结构中。
    • 减少系统信息泄漏 –限制对/ boot/ proc/ sys等目录的访问。
    容器类型:
    • 常规文件系统 –使用当前文件系统中的文件和目录创建的容器
    • chroot文件系统 –使用常规的chroot文件系统作为容器。
    • overlay文件系统 – 在常规文件系统之上安装Linux overlayfs文件系统。所有修改都保留在叠加层中。用户可以稍后在另一个沙箱中重新加载叠加层。
    上述文件系统操作可用于所有三种类型的容器。


    安全过滤器
    当前实现了以下安全筛选器:
    • seccomp-bpf –一种简单而有效的沙盒技术,seccomp-bpf允许用户将系统调用筛选器附加到进程及其所有后代,从而减少了内核的攻击面。
    • 协议 –基于seccomp,它过滤套接字系统调用的第一个参数。大多数默认配置文件仅允许使用unix,inet和inet6通信协议。
    • noroot用户名称空间 –安装只有一个有效用户(当前用户)的用户名称空间
    • Linux功能 – Linux功能(POSIX 1003.1e)旨在将根特权分成一组可以独立启用或禁用的独特特权。这些用于限制以root用户身份运行的进程在系统中可以执行的操作。大多数默认配置文件禁用所有功能。
    • X11沙箱支持围绕两个外部X11服务器软件包XpraXephyr 构建
    • GrsecurityAppArmor的直接支持。


    网络支持
    Firejail可以将新的TCP / IP网络堆栈附加到沙箱。新堆栈带有其自己的路由表,防火墙和接口集。作为内核内部的Linux名称空间实现,该堆栈完全独立于主机网络堆栈。
    有人将网络功能用作阻止访问所有侦听系统套接字的方法-大多数沙盒逃脱漏洞利用都是基于这种进程间通信的。例如,禁用沙箱内X11支持的唯一方法是使用网络名称空间。
    这些是Firejail支持的网络操作:
    • 创建新接口 –创建Linux内核macvlan桥接设备,然后将其移动到沙箱中。
    • 在沙箱中移动现有接口。接口配置被保留。我们使用此功能将沙箱连接到特定的VLAN。
    • 分配地址 – Firejail使用简单的ARP扫描机制自动分配IP地址。用户还可以指定IP地址。IPv4和IPv6均受支持。
    • 主机名支持
    • DNS支持
    • Linux netfilter支持 –可以在沙箱中安装自定义的netfilter配置。
    • 流量整形 –控制流入和流出沙箱的数据量。


    安全设定档
    配置文件位于/ etc / firejal目录中,描述文件系统容器,安全过滤器和网络配置。
    大多数默认安全配置文件使用限制性seccomp-bpf双32位/ 64位过滤器,禁用所有功能,并在沙箱中启用noroot用户名称空间。文件系统拒绝访问密码和加密密钥。某些应用程序类(例如Web浏览器)使用列入白名单的主目录,隐藏所有用户文件。


    资源分配
    使用Linux控制组Linux rlimits分配资源,例如CPU时间,系统内存和网络带宽。


    通用包装格式
    Firejail 本机支持AppImage打包格式。只需添加–appimage命令行选项,即可安装该包并在沙箱中运行。
    Firejail还使用常规安全配置文件支持Ubuntu Snap软件包。


    沙盒审核
    审核功能使用户可以指出安全配置文件中的漏洞。该实现用测试程序替换了要沙盒化的程序。我们发布了通用审核程序,但用户也可以使用自定义程序。


    统计与监测
    Firejail提供了大量选项来跟踪沙盒应用程序的所有方面。这包括监视CPU /内存/带宽使用情况,跟踪系统调用,监视exec和fork事件以及记录对列入黑名单的文件和目录的访问。


    图形用户界面
    GUI应用程序firetools作为单独的软件包提供。

    Reply Favorite View the author
    All Replies
    avatar
    foxbcd
    deepin
    2019-12-05 20:10
    #1
    本帖最后由 foxbcd 于 2019-12-5 12:57 编辑

    .............
    Reply View the author
    avatar
    ghostry
    deepin
    2019-12-05 20:49
    #2
    https://bbs.deepin.org/post/186353
    你一个普通用户有必要整这么高级吗,你用了这么多年的电脑,各种系统,有被人攻击过、入侵过、被人黑过?

    ...

    沙箱挺好的,

    谁用谁知道。
    Reply View the author
    avatar
    foxbcd
    deepin
    2019-12-05 20:59
    #3
    https://bbs.deepin.org/post/186353
    沙箱挺好的,

    谁用谁知道。



    。。。
    Reply View the author