Всем нам приходится иметь дело с приложениями, файлами или скриптами, которые не вызывают доверия и могут нанести вред системе. Или когда требуется запустить браузер в максимально изолированном окружении, чтобы в случае взлома твоей системе ничто не угрожало и ты не потерял важные данные. Сегодня как раз поговорим о песочнице для linux и аналоге, для тех кто использует win.
Firejail (https://github.com/netblue30/firejail) — гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces. (https://habr.com/ru/post/458462/) Запущенное в песочнице Firejail приложение имеет доступ только к заранее определенным файлам и функциям системы. Например, можно запретить приложению доступ ко всем файлам, кроме собственных конфигов, открыть некоторые файлы только на чтение или только на запись, запретить поднимать свои привилегии до root, запретить подключаться к определенным портам, запретить небезопасные системные вызовы и т.д.
Подробное описание этого инструмента, ты можешь найти по ссылкам ниже:
• Оф. сайт проекта: https://firejail.wordpress.com/
• Загрузка и установка: https://firejail.wordpress.com/download-2/
• Особенности: https://firejail.wordpress.com/features-3/
• Документация: https://firejail.wordpress.com/documentation-2/
• FAQ: https://github.com/netblue30/firejail/wiki/Frequently-Asked-Questions
• Wiki: https://github.com/netblue30/firejail/wiki
• GitLab-CI: https://gitlab.com/Firejail/firejail_ci/pipelines/
• Видеоматериал: https://odysee.com/@netblue30:9?order=new
• Что касается песочницы для win, то существует решение Sandboxie Plus (https://sandboxie-plus.com/) — которое позволяет запустить любое приложения в отдельном окружении, идентичном операционной системе. Песочница представляет собой своего рода виртуальную машину: выбранное вами приложение запустится в изоляции от основной системы и не сможет иметь доступ к вашим документам и системным файлам.
Запустить софт в песочнице довольно просто, и для этого можно использовать множество инструментов, а не только те которые перечислены в этом посте. Существует десятки аналогов, которые хороши по своему и имеют ряд преимуществ. Эту информацию легко найти если у тебя есть потребность в настройке изолированной среды.