Запуск приложений в песочнице Linux

Даже надежно защищенная крепость не обходится без общения с внешним миром. Запуск программ сомнительного поведения может свести на нет все усилия по обеспечению безопасности. В этом случае пригодится инструмент, позволяющий настроить исполнение приложений в рамках жестко ограниченного пространства (песочнице).

Еще по теме: Запуск подозрительных приложений на Android

Linux песочница Firejail Firetools

Такой инструмент есть, и название у него соответствующее — Firejail. Программа лаконична и проста в использовании в сравнении с прочими средствами схожей функциональности. Использование программы в графическом режиме возможно с помощью незатейливого Qt-фронтенда Firetools. Впрочем, и консольный вариант не вызовет затруднений.

Например, запустить нужное приложение (Chromium) в изолированном контейнере с запретом доступа к критическим каталогам, системным вызовам и в приватном режиме можно командой:

$ firejail --seccomp --private chromium

В этом случае все файлы, созданные браузером, удалятся, как только он будет закрыт. Но доступ ко всему домашнему каталогу пользователя останется открытым.

Чтобы полностью отрезать запускаемое приложение от файловой системы, потребуется выполнить ряд шагов по настройке, а именно — создать пользовательский каталог для файлов конфигурации и каталог запуска для приложения (ту самую тюрьму):

$ mkdir ~/.config/firejail$ mkdir ~/chromium

Далее следует скопировать конфигурационный файл песочницы в домашний каталог:

$ cp /etc/firejail/chromium.profile ~/.config/firejail

и отредактировать его, добавив параметр приватности:

$ echo "private ${HOME}/chromium" >> ~/.config/firejail/chromium.profile

Чтобы по умолчанию приложение запускалось в подготовленной таким образом «тюрьме», нужно выполнить от рута:

# echo "firejail --seccomp /usr/bin/chromium $@" > /usr/local/bin/chromium# chmod +x /usr/local/bin/chromium