INFOTHEMA

Auteur Sujet: Firejail - Une Sandbox pour Linux  (Lu 4393 fois)

E18i3

  • ORGANISATION INFOTHEMA
  • Hero Member
  • ******
  • Messages: 846
  • Créer, c’ est résister” Stéphane Hessel 1917-2013
    • Voir le profil
Firejail - Une Sandbox pour Linux
« le: décembre 07, 2018, 08:27:16 pm »
Salut à tous,

Juste en écho à la séance de samedi en 8, pour les newbies que le sujet intéresse, comme le stipule l' intitulé,
sous Debian (par exemple ...) il existe un ty truc qui se nomme Firejail, que chacun peut télécharger à partir de synaptic.

Firejail permet de lancer n' importe quel logiciel dans une sandbox, autrement dit dans un environnement hermétique dans lequel un logiciel pourra fonctionner, peu importe son type (en ligne de commande, graphique, sessions utilisateur...etc.), sans affecter votre système.

Pas de dépendances, pas de configuration complexe, pas de daemon tournant sur le système...
Firejail est autonome et repose entièrement sur le noyau et toutes ses fonctionnalités.

Pour lancer un programme dans un "bac-à-sable" firejail, il suffit de l' appeler en le faisant précéder par Firejail.
Exemple, pour lancer Tor,  il vous suffira de taper avec votre terminal : 

$ firejail tor

Petite cerise sur le gâteau, Il existe également une interface graphique qui se nomme Firetools,
c' est cool non ?



Bon, j' vais pas casser l' coup de notre très cher Administrator, si j' ai réussi a mettre en appétit quelques-uns d' entre vous,
j' vous donne rendez-vous demain à Kermoroc' h ..?

Pour une ty demo vidéo :

https://youtu.be/Yk1HVPOeoTc

                   @ 2 mains ...  ;D

" Dire que l' on s' en fiche du droit à la vie privée sous prétexte qu' on a rien à cacher, c' est comme déclarer que l' on se fiche du droit à la liberté d' expression sous prétexte qu' on a rien à dire."  Edward Snowden.

Animateur

  • Administrator
  • Hero Member
  • *****
  • Messages: 6330
    • Voir le profil
Re : Firejail - Une Sandbox pour Linux
« Réponse #1 le: décembre 12, 2018, 06:09:46 pm »
Super E18i3 ton complément technique sur le mode sandbox !  ;D
Membre de l'APRIL (www.april.org) / Membre du bureau Association "Debian Facile"  (https://debian-facile.org)

E18i3

  • ORGANISATION INFOTHEMA
  • Hero Member
  • ******
  • Messages: 846
  • Créer, c’ est résister” Stéphane Hessel 1917-2013
    • Voir le profil
Re : Firejail - Une Sandbox pour Linux
« Réponse #2 le: décembre 13, 2018, 08:22:57 pm »
Bonjour à toi Ô Administrator,

Je posterai (dès que possible ...) un tuto sur le sujet.

        @+  ;)
" Dire que l' on s' en fiche du droit à la vie privée sous prétexte qu' on a rien à cacher, c' est comme déclarer que l' on se fiche du droit à la liberté d' expression sous prétexte qu' on a rien à dire."  Edward Snowden.

E18i3

  • ORGANISATION INFOTHEMA
  • Hero Member
  • ******
  • Messages: 846
  • Créer, c’ est résister” Stéphane Hessel 1917-2013
    • Voir le profil
Re : Firejail - Une Sandbox pour Linux
« Réponse #3 le: janvier 23, 2019, 10:42:20 pm »
Salut à tous,

Pour ceux qui suivent cette discussion, finalement, je n' ferais pas de tuto, trop d' boulot perso, la flemme et puis de toute façon il suffit d' aller sur le site.
Je préciserais simplement que suivant ce que vous lancerez sous Firejail, n' oubliez pas que vous ne pourrez pas forcément interagir avec votre système, accéder à vos documents, images, etc …

Plusieurs options de configuration avec le terminal peuvent être transmises a Firejail en utilisant des fichiers de profil. Les profils définis par l’ utilisateur sont stockés dans le répertoire ~/. config/firejail.
En supposant que " app_name " est le nom de la commande que vous utilisez pour lancer votre appli, les étapes pour construire un profil personnalisé sont les suivantes :

1 Créez un répertoire config/firejail dans votre répertoire home en faisant :

$ cd ~
$ mkdir -p .config/firejail
$ cd .config/firejail


2 Copiez dans ce répertoire le profil de sécurité par défaut utilisé par firejail pour exécuter des applications non reconnues :

cp /etc/firejail/default.profile app_name.profile

Le nouveau fichier de profil – app_name.profile – doit avoir le même nom que l’ appli, avec seulement un . profil ajoutée. Par exemple, si vous avez l’ intention d' utiliser mplayer, votre nom de fichier sera mplayer.profile.

3 Pour éditer et modifier le nouveau fichier de profil, les répertoires des listes noires, les fichiers de liste blanche, etc, utilisez « man 5 firejail-profile » pour une description et la syntaxe correcte de toutes les commandes.

Pour lancez votre appli normalement :

$ firejail app_name

Lorsque vous lancerez votre appli toujours en mode terminal, vous verrez firejail ramasser le nouveau profil de sécurité (Profil de lecture /home/username/.config/firejail/app_name.profile.) :

$ firejail app_name
Reading profile /home/username/.config/firejail/app_name.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/disable-passwdmgr.inc


Et normalement, ça devrait l' faire,  après si vous rencontrez des bugs, ben reste le forum

Si l' utilisation de Firejail vous satisfait, que votre config le permet et que vous souhaitez forcer le démarrage de vos appli en sandbox avec par exemple firefox, toujours en mode terminal ou tripatouillage en root :

cp  /usr/share/applications/firefox.desktop ~/.local/share/applications
sed -i 's/Exec=firefox/Exec=firejail firefox/g' .local/share/applications/firefox.desktop


Ou pour revenir à l’ install par défaut :

rm  ~/.local/share/applications/firefox.desktop

Maintenant histoire de compléter ce billet, je vous propose quelques liens pour ceux qui n' ont pas encore compris l' importance de l' usage des logiciels vraiment libre, par rapport aux OS propriétaire comme Windows 10,
je vous recommande vivement le guide de l’ ANSSI sur la sécurisation et la réduction de la collecte des données, voire cet autre lien.

Sur ce, bon tripatouiillage et

                                @+  ;D
" Dire que l' on s' en fiche du droit à la vie privée sous prétexte qu' on a rien à cacher, c' est comme déclarer que l' on se fiche du droit à la liberté d' expression sous prétexte qu' on a rien à dire."  Edward Snowden.