Firejail — клетка для софта

firejail.wordpress.com

Изоляция приложений, словно детей в песочнице — верный способ минимизации потенциального вреда от них. Firejail использует пространства имен Linux для изоляции софта, которому мы не доверяем сходу допуск к своей ОС. Софтина органично вливается в Linux, не создавая практически никакой нагрузки при запуске как графических, так и консольных приложений через нее.

📌 Детали

  • открытый исходный код на Си
  • разработка сообщества FOSS, без рекламы и отслеживания ~ присутствует в репозиториях Debian, Fedora, Arch и др. (лучше брать с GitHub последнюю, в версии с репы Ubuntu, например, не закрытая дыра)
  • не требует зависимостей, работает без фоновх демонов, с ядрами Linux от 3.х
  • более тысячи готовых профилей под распространенный софт
  • изоляция образов AppImage
  • изоляция всех компонентов ОС в планах
  • графический интерфейс через firetools
  • практически не нуждается в настройке (достаточно команды sudo firecfg для автоконфигурации под установленный софт, сброс обратно через sudo firecfg –clean)
  • ограничение приложения в аппаратных ресурсах машины и доступе к данным на ней
  • сообщество в IRC
  • немного странная (на WordPress), но полезная документация, с поиском и видеоуроками + вики

ИМХО:  Очень гибкий и в то же время простой для работы инструмент. Помимо профилей по умолчанию, можно работать без профиля и с временными директориями для каждого запуска. Например, firejail –private ssh… Профили стоит проверять, т.к. большая часть работает с черными списками и может не ограничить доступ к директориям, заранее не запрещенным. А иногда может и ломать что-то (например, не мешать компу уходить в сон во время видео).

Свежее