1 概述
1.1 Firejail & Firetools 简介
Firetools是一个服务于Firejail软件的GUI工具,脱离Firejail,Firetools是没有意义的。
Firejail,直译为“火狱”,是一种提高应用程序运行时安全性的工具,其本质上是一个“沙盒”应用程序,允许用户在受限的Linux环境中运行不受信任的应用程序。从原理上,Firejail通过使用Linux内核的命名空间(namespace)和控制组(cgroup)功能,创建一个独立的运行环境,将应用程序限制在一个隔离的沙盒中运行,从而阻止这些应用程序访问它们不应该访问的系统区域(敏感资源,例如文件系统、网络、进程、图形系统等)。
因此,通过这种方式,Firejail提供了一种安全运行应用程序的策略,而无需担心它们对系统的安全性造成威胁。它还提供了一些额外的安全功能,如强制访问控制、网络隔离和防止特权提升等,帮助用户保护系统免受恶意软件和攻击。
Firetools提供了Firejail工具的GUI界面,能够使Firejail的使用更加简单、清晰。
Firejail官网:https://firejail.wordpress.com/
Firetools官网: https://firejailtools.wordpress.com/
1.2 Kayarch 简介
浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接https://www.ieisystem.com/kos/product-kos-xq.thtml?id=12126。
2 安装准备
2.1 操作系统环境
版本信息:KeyarchOS 5.8sp1
硬件平台:X86_64
2.2 Firejail & Firetools版本
Firejail:firejail-0.9.72
Firetools:firetools-0.9.72
3 安装 Firejail & Firetools
3.1 安装包准备
Firejail和Firetools这两个工具在KOS软件源中并没有直接提供,其官网中提供了对应软件的源码包,因此考虑通过编译的方式进行安装。
源码包下载地址如下:
Firejail:https://sourceforge.net/projects/firejail/files/firejail/
Firetools:https://sourceforge.net/projects/firejail/files/firetools/
下载完毕后,上传至KOS系统。本次安装下载版本如下:
3.2 安装Firejail
首先安装Firejail和Firetools所需的依赖:
$ yum install gcc-c++ qt5-qtbase-devel qt5-qtsvg.x86_64 git
创建新目录,开始解压缩:
$ mkdir firejail && cd firejail
$ tar -xvf ~/firejail-0.9.72.tar.xz
进入源码目录,可以看到以下的文件内容:
编译构建,并安装:
$ ./configure && make && sudo make install-strip
查看 Firejail 版本:
$ firejail --version
Firejail安装成功。
3.3 安装Firetools
安装Firetools的过程与Firejail类似。
$ mkdir firetools && cd firetools/ && tar -xvf ~/firetools-0.9.72.tar.xz
$ cd firetools-0.9.72/
可以看到Firetools的目录结构:
接下来修改配置文件,并编译安装:
$ ./configure --prefix=/usr --with-qmake=/usr/lib64/qt5/bin/qmake && make && sudo make install
安装后的文件目录:
运行install脚本:
$ ./install.sh
等待安装完成,可以查看Firetools的版本号:
可以查看Firetools的options选项:
4 Firejail & Firetools基本使用
可以通过CLI(命令行)或Firetools GUI的方式使用Firejail,具体操作如下。
4.1 CLI方式使用Firejail
通过CLI唤起Firejail沙盒应用的方式很简单,命令如下:
$ firejail [application-name]
例如,通过Firejail沙盒唤起运行firefox,可以执行以下命令:
$ firejail firefox
可以通过键入Ctrl+C,来终止Firejail沙盒应用。
- 注意:很多人误解Firejail仅适用于Mozilla Firefox,实则不然,Firejail可以同许多应用一齐使用。
Firejail包含许多针对不同应用程序的安全配置文件,它们存储在 `etc/`目录下。
有关配置信息的策略,以及主要应用案例说明,请移步Firejail官方网站
https://firejail.wordpress.com/
4.2 GUI方式使用Firejail
进入KOS图形窗口,可以看到已经成功安装了Firejail和Firetools两个应用:
点击Firetools,启用Firejail,可以看到出现一个小方格,小方格内是各种应用:
点击应用,即可在Firejail沙盒中启动对应的软件。例如,点击火狐。