صندوق الرمل مع سجن النار Sandboxing with Firejail

امن_المعلومات
حماية
الأوسمة: #<Tag:0x00007fe45c23f620> #<Tag:0x00007fe45c23f4e0>

(ناصر المجهول) #1

Sandboxing_Firejail

السلام عليكم ورحمه الله وبركاته , تحيه طيبه اما بعد …

طبعا عنوان الموضوع يبدو غير واضح بالعربيه ولكن هذا ما وجدته من ترجمه والله اعلم.

موضوع صندوق الرمل بشكل منفرد طويل ومتشعب وكثير من المشاريع تعمل به, فلذلك اخترت و اختصرت الموضوع في Firejail وكيفيه تنصيبه ولمحه بسيطه عن استخدامه.

صندوق الرمل بشكل مختصر: هو حصر او تضييق مجال صلاحيه البرنامج.

بمعنى على فرض انك تستخدم المتصفح , فيمكنك منع/حجب قراءه محتويات النظام او الدخول الى ملفات الروت او ان يتصل بDNS مختلف عن الDNS الخاص بالتوزيعه …الخ , وهكذا بالنسبه لباقي البرامج.

وهذا ينفع في حاله لو فرضنا ان البرنامج غير موثوع به او موثوق به ولكن لا تريد اذا تم اختراقه بثغره ان تخترق هذه الثغره التوزيعه او نظام التشغيل كله… ومن هذا تبدأ فائده صندوق الرمل بشكله الامني.

Firejail:- هو عباره عن برنامج SUID ( S et owner U ser ID up on execution) يقوم بتقليص الخروقات الامنيه للتطبيقات عن طريق استخدام LinuxNamspaces مع Seccomp filtering. متوافق مع جميع انويه لينكس النسخه 3 فما فوق , كتب بلغه C ومرخص تحت GPLv2.

(اعرف ان التعريف لا يشرح كثيرا عن طريقه عمله ولكن وضعت الروابط لكي تتضح الصوره لك)

Firetools:- وهي عباره عن نسخه Firejail مع واجهه رسوميه.

طريقه التنصيب للتوزيعات الديبيانيه: (ساقوم بتنصيب النسختين)

sudo apt install firejail firetools

وطريقه الاستخدام سهله جدا:

FireJail سجن النار

  • فقط قم باستخدام Firejail ثم اسم التطبيق وهكذا مثلا:

firejail firefox

  • اذا اردت ان تعدل او تضيف او تخصص اوامر التطبيقات التي ستعمل تحت سجن النار فاذهم الى cd /etc/firejail ثم ستجد جميع المجلدات التي تاتي مع firejail بشكل تلقائي.

  • اذا اردت ان تقوم بشتغيل مجلد انت كتبته او عدلته مع تطبيق معين فاستخدم هذا الامر:

firejail --profile=/etc/xxx.profile yyy

على فرض ان xxx.profile هو اسم المجلد الذي تريد تشغيله مع تطبيق الyyy. (يجب ان يكون yyy هو الاسم التنفيذي للتطبيق, بمعنى لو اردنا تشغيل Tor Browser Bundle اذن لا نكتب هذه الجمله لاننا اذا كتبناها لن يعمل ان شيء لانه لا يوجد برنامج سيقوم بالعمل بعد تنفيذ هذه العباره في سطر الاوامر او Terminal. ولكن نكتب مثلا torbrowser او torbrowser-launcher …الخ حسب اسم البرنامج بشكله التنفيذي).

  • تستطيع ان تجد مجلدات Firejail هنا.

  • في حاله كان المجلد غير موجود وتريد ان تقوم بتشغيل البرنامج من دون اي مجلد فاستخدم هذا الامر:

firejail --noprofile yyy

Firetools ادوات النار

  • هذا يسهل عليك الامر, بعض التطبيقات ستجد مجلداتها موجوده داخله بشكل رسومي وتضغط عليها وتعمل معك بشكل طبيعي مثل هذه الصوره:

firetools-stats

  • اذا اردت ان تعرف حالت البرامج التي تعمل وتفاصيل اكثر نضغط بالزر الايمن ثم نختار Tools

ftool

ثم ستظهر لنا هذه الشاشه التي تظهر ان thunderbird و hexchat يعملان مع firejail

ftool2

واذا اردنا تفاصيل اكثر نضغط على رقم الPID الخاص بها , على سبيل المثال Thunderbird

(سوف تلاحظون من الامور التي ذكرتها وهي مفعله بشكل تلقائي Seccomp و Namesapce)

ftool4

  • اذا اردنا ان نضع امر يدوي غير موجود , نضغط بالزر الايمن على مكان فارغ في اسفل قائمه الFiretools ونختار Edit ونكتب اسم البرنامج مع امر firejail الذي سيشغل البرنامج

ftool3

  • اذا اردت ان تقوم بعمل مجلد بشكل رسومي فاذهم الى Firejail Configuration Wizard

firejailui-network

:sunny: يمكنك كذلك مشاهده فيدوهات توضيحيه من الموقع الرسمي هنا.