Cyrille BIOT

Site personnel

Outils pour utilisateurs

Outils du site

Piste :
firejail

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
firejail [2021/02/13 18:23] cyrillefirejail [2021/02/13 19:52] (Version actuelle) – ut cyrille
Ligne 51: Ligne 51:
 ==== Les fichiers de configuration === ==== Les fichiers de configuration ===
  
-Afin de sécurité le système, il y a toute une flopée d'options (voir le** man de firejail** pour en avoir un aperçu)qui s'ajoute aux profils de base.+Afin de sécuriser le système, il y a toute une flopée d'options (voir le** man de firejail** pour en avoir un aperçu) qui peuvent s'ajouter aux profils de base.
  
-Lors de l'exécution, Firejail cherche d'abord dans **~/.config/firejail/** un profil éponyme au nom de l'application et s'il n'en trouve pas, il cherche dans **/etc/firejail/**.+Lors de l'exécution, **Firejail** cherche d'abord dans **~/.config/firejail/** un profil éponyme au nom de l'application et s'il n'en trouve pas, il cherche dans **/etc/firejail/**.
  
-Si aucun profil approprié n'est trouvé, Firejail utilisera un profil par défaut.  +Si aucun profil approprié n'est trouvé, Firejail utilisera un profil par défaut. Ce profil par défaut est assez restrictif. Au cas où l'application ne fonctionne pas, utilisez l'option** --noprofile** pour le désactiver. 
- +
-Le profil par défaut est assez restrictif. Au cas où l'application ne fonctionne pas, utilisez l'option** --noprofile** pour le désactiver. +
  
  
Ligne 72: Ligne 70:
 </code> </code>
        
-Plus de mille profils sont disponibles... Un profil éponyme à l'application lancée pour les plus communes. Et aussi des héritages de profil que nous laisserons ici de côté.+Plus de mille profils sont disponibles... Un profil éponyme à l'application lancé pour les plus communes. Et aussi des héritages de profil que nous laisserons ici de côté.
  
 Ce sont ces profils qui définiront les règles de sécurité d'ouverture / fermeture des portes de la prison.  Ce sont ces profils qui définiront les règles de sécurité d'ouverture / fermeture des portes de la prison. 
Ligne 108: Ligne 106:
 </code>  </code> 
  
-Les fichiers inclus dans les profils+==== Les fichiers inclus dans les profils ==== 
 + 
 + 
 +Les lignes commençant par un hachage (#) sont des commentaires. Au début, les profils comprennent des inclusions defichiers, et à la fin on peut en trouver d'autres. Vous pouvez les examiner vous-même, mais pour les essentielles : 
  
-Vous voyez que les lignes commençant par un hachage (#) sont des commentaires. Au début, ce profil comprend quatre autres fichiers, et à la fin il inclut un autre fichier. Vous pouvez les examiner vous-même, mais pour résumer: 
  
 |disable-mgmt.inc | rend les commandes de gestion du système inaccessibles (répertoires / sbin et / usr / sbin, et quelques commandes)| |disable-mgmt.inc | rend les commandes de gestion du système inaccessibles (répertoires / sbin et / usr / sbin, et quelques commandes)|
 |disable-secret.inc | rend les fichiers secrets inaccessibles dans votre répertoire personnel (clés SSH, trousseaux de clés Gnome et KDE, clés GPG, etc.)| |disable-secret.inc | rend les fichiers secrets inaccessibles dans votre répertoire personnel (clés SSH, trousseaux de clés Gnome et KDE, clés GPG, etc.)|
 |disable-common.inc | rend les fichiers inaccessibles à partir d'autres navigateurs, avec la ligne "noblacklist $ {HOME} /. mozilla" ci-dessus garantissant que les fichiers pour Firefox ne sont pas rendus inaccessibles (= liste noire).| |disable-common.inc | rend les fichiers inaccessibles à partir d'autres navigateurs, avec la ligne "noblacklist $ {HOME} /. mozilla" ci-dessus garantissant que les fichiers pour Firefox ne sont pas rendus inaccessibles (= liste noire).|
-|disable-devel.inc rend les commandes de développement inaccessibles (comme les compilateurs, les outils de débogage, les outils de script, etc.)|+|disable-devel.inc rend les commandes de développement inaccessibles (comme les compilateurs, les outils de débogage, les outils de script, etc.)|
 |whitelist-common.inc | rend accessibles les fichiers et répertoires communs dont la plupart des programmes graphiques auront besoin| |whitelist-common.inc | rend accessibles les fichiers et répertoires communs dont la plupart des programmes graphiques auront besoin|
  
Ligne 121: Ligne 122:
 La ligne "seccomp" active un filtre pour les appels système que le programme peut effectuer. La ligne «protocole» adapte en outre le filtre d'appel système pour la mise en réseau. Voici les options des différentes lignes :  La ligne "seccomp" active un filtre pour les appels système que le programme peut effectuer. La ligne «protocole» adapte en outre le filtre d'appel système pour la mise en réseau. Voici les options des différentes lignes : 
  
-| "netfilter" | Un filtre réseau par défaut est activé si vous configurez un nouvel espace de noms réseau.| +|"netfilter" | Un filtre réseau par défaut est activé si vous configurez un nouvel espace de noms réseau.| 
- +|"tracelog" | Toute violation où le programme essaie d'accéder à des fichiers ou répertoires sur liste noire sera enregistrée dans /var/log/syslog .| 
-| "tracelog" | Toute violation où le programme essaie d'accéder à des fichiers ou répertoires sur liste noire sera enregistrée dans /var/log/syslog .| +|"noroot" | Désactive l'utilisateur root dans le bac à sable.| 
- "noroot" | Désactive l'utilisateur root dans le bac à sable.| +|"whitelist" | Rend accessible les fichiers et répertoires qui seraient utilisés le programme. Les modifications apportées aux fichiers et répertoires de la liste blanche sont persistantes, tout le reste écrit dans votre répertoire personnel est supprimé lorsque le bac à sable est fermé.|
- +
-| "whitelist" | Rend accessible les fichiers et répertoires qui seraient utilisés le programme. Les modifications apportées aux fichiers et répertoires de la liste blanche sont persistantes, tout le reste écrit dans votre répertoire personnel est supprimé lorsque le bac à sable est fermé.| +
- +
- +
  
 ==== L'option --private ==== ==== L'option --private ====
Ligne 164: Ligne 160:
 ==== Le cas de Firefox ==== ==== Le cas de Firefox ====
  
 +Par exemple, voici les règles de sécurité mises en place par le lancement de firefox dans un bac à sable.
 +Firejail désactivera plusieurs moyens par lesquels Firefox peut obtenir les privilèges root;
  
- +  * Cela fait même en sorte que le compte root n'existe même pas dans le bac à sable; 
- +  * Cela rend les profils firejail inaccessibles; 
- +  * Cela rend inaccessibles les répertoires binaires système et plusieurs binaires système sur n'importe quel répertoire de votre chemin; 
- +  * Il rend les clés secrètes (trousseaux de clés de session, clés GnuPG, clés SSH, etc.) inaccessibles; 
- +  * Cela rend vos fichiers utilisateur d'autres navigateurs Web, clients FTP et programmes de discussion inaccessibles; 
- +  * Il rend les fichiers d'historique de votre console inaccessibles (historique de bash, less, etc.); 
- +  * Firefox ne peut pas voir les autres processus sur votre système; 
-Vous voudrez sans doute peaufiner tout cela+  * Firefox ne peut écrire des fichiers que dans les répertoires / home, / tmp et / var (s'il y est autorisé) et tous les autres répertoires sont immuables.
- +
  
firejail.1613237011.txt.gz · Dernière modification : 2021/02/13 18:23 de cyrille

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki