应用程序在linux中如何默认启动不了,如何在Linux中安全地运行不受信任的应用程序...

最新推荐文章于 2021-07-28 11:02:35 发布
最新推荐文章于 2021-07-28 11:02:35 发布
阅读量427 收藏 1
点赞数
文章标签: 应用程序在linux中如何默认启动不了

原标题:如何在Linux中安全地运行不受信任的应用程序

有时您可能希望使用在不同环境中未经过良好测试的应用程序,但您必须使用它们。在这种情况下,关注系统的安全性是正常的。在Linux中可以做的一件事是在沙箱中使用应用程序。

“沙盒”是在有限环境中运行应用程序的能力。这样,应用程序就可以提供运行所需的大量资源。由于名为Firejail的应用程序,您可以安全地在Linux中运行不受信任的应用程序。

Firejail是一个SUID(设置所有者用户ID)应用程序,它通过使用Linux命名空间和seccomp-bpf限制不受信任程序的运行环境来减少安全漏洞的暴露。

它使一个进程及其所有后代拥有自己的全局共享内核资源的秘密视图,例如网络堆栈,进程表,挂载表。

Firejail使用的一些功能:

Linux名称空间

文件系统容器

安全过滤器

网络支持

资源分配

有关Firejail功能的详细信息,请参阅官方页面。

如何在Linux中安装Firejail

可以使用git命令从项目的github页面下载最新的软件包来完成安装,如图所示。

linuxidc@linuxidc:~/www.linuxidc.com$ git clone https://github.com/netblue30/firejail.git

正克隆到 'firejail'...

remote: Enumerating objects: 23, done.

remote: Counting objects: 100% (23/23), done.

remote: Compressing objects: 100% (18/18), done.

remote: Total 38395 (delta 11), reused 11 (delta 5), pack-reused 38372

接收对象中: 100% (38395/38395), 9.82 MiB | 87.00 KiB/s, 完成.

处理 delta 中: 100% (30820/30820), 完成. linuxidc@linuxidc:~/www.linuxidc.com$ cd firejail

linuxidc@linuxidc:~/www.linuxidc.com/firejail$ ./configure && make && sudo make install-strip

checking for gcc... gcc

checking whether the C compiler works... yes

checking for C compiler default output file name... a.out

checking for suffix of executables...

checking whether we are cross compiling... no

checking for suffix of object files... o

7b35a2e9e9f12926882c7aebfd972730.png

如果您的系统上没有安装git,可以使用以下命令安装它:

$ sudo apt install git [在 Debian/Ubuntu]

# yum install git [在 CentOS/RHEL]

# dnf install git [在 Fedora 22+]

安装firejail的另一种方法是下载与Linux发行版相关联的软件包,并使用其软件包管理器进行安装。 可以从项目的SourceForge页面

$ sudo dpkg -i firejail_X.Y_1_amd64.deb [在 Debian/Ubuntu]

$ sudo rpm -i firejail_X.Y-Z.x86_64.rpm [在 CentOS/RHEL/Fedora]

如何在Linux中使用Firejail运行应用程序

您现在可以使用firejail运行应用程序了。 这是通过启动终端并在您希望运行的命令之前添加firejail来实现的。

下面是一个例子:

15c7a95764afcfd79461854dc8271172.png

$ firejail firefox #启动 Firefox网络浏览器

$ firejail vlc # 启动 VLC 播放器

创建安全配置文件

Firejail包含许多针对不同应用程序的安全配置文件,它们存储在:

/etc/firejail

如果您从源代码构建项目,则可以在以下位置找到配置文件:

# path-to-firejail/etc/

如果您使用了rpm/deb软件包,则可以在以下位置找到安全配置文件:

/etc/firejail/

用户应将其配置文件放在以下目录中:

~/.config/firejail

如果要扩展现有安全配置文件,可以使用包含配置文件路径的include,然后添加行。 这应该是这样的:

$ cat ~/.config/firejail/vlc.profile

include /etc/firejail/vlc.profile

net none

如果您希望限制应用程序访问某个目录,您可以使用黑名单规则来实现这一目标。 例如,您可以将以下内容添加到安全配置文件中:

blacklist ${HOME}/Documents

实现相同结果的另一种方法是实际描述您希望限制的文件夹的完整路径:

blacklist /home/user/Documents

您可以通过许多不同的方式配置安全配置文件,例如禁止访问,允许只读访问等。如果您有兴趣构建自定义配置文件,可以查看以下firejail说明。

对于想要保护系统的安全用户来说,Firejail是一个很棒的工具。

Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址:https://www.linuxidc.com/Linux/2019-03/157219.htm返回搜狐,查看更多

责任编辑:

low sapkj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux信任应用程序启动器,应用程序启动器 “sublime_text.desktop“ 还没有被标记为 信任。如果您不知道这个文件的来源,那么启动它可能会不安全。解决sublime在ubunt...
weixin_35626308的博客
05-07 2357
1.下载git clone https://github.com/lyfeyaj/sublime-text-imfix.git2.进行一些处理cd ~/sublime-text-imfixsudo cp ./lib/libsublime-imfix.so /opt/sublime_text/sudo cp ./src/subl /usr/bin/这样每次都要输入subl才能打开,很不友好。对D...
Ubuntu下提示信任的应用启动器的问题
专注基础架构领域
12-04 2235
ubuntu下打开系统知第三方应用时,基于安全机制会提示“信任的应用启动器的问题”,如下所示: 这时只要右键该应用的desktop文件,单击属性,在权限选项卡勾选“允许作为程序执行文件”即可 ...
linux创建的桌面快捷方式不能启动,提示不被信任
CindyLina
07-28 5061
创建linux桌面快捷启动方式启动提示”untrusted application launcher“,且无信任确认,如下图: **原因分析:**用户权限的问题,新版本的Gnome桌面快捷方式如果默认是root,则不让启动。 **解决方案:**把文件权限设置为普通用户权限,启动时使用root密码确认即可解决。 修改文件权限指令: chown admin:admin /home/admin/Desktop/*.desktop 设置完文件权限,回到Gnome桌面双击启动弹出的窗口就会有信息选项了,输入ro
CentOS 7启动达梦数据库可视化管理工具,提示“信任应用程序启动器
静以养神的博客
05-29 3970
启动达梦数据库可视化管理工具,提示“信任应用程序启动器” 达梦数据库创建实例成功后,可通过manager.desktop启动“DM管理工具”,以便对数据库进行更加便捷的操作。但有时,在启动manager.desktop时,会提示“信任应用程序启动器”,如下图所示: 此问题的出现是因为DM数据库并获得最高的操作权限(用root权限去启动与DM数据库具有最高权限是两个不同的含义),因此,...
centos或Ubuntu机器出现 pycharm.desktop文件出现 信任应用程序启动器的情况,怎么解决?
liangkaiping0525的博客
04-30 4590
桌面图标启动编辑 vi pycharm.desktop #!/usr/bin/env xdg-open [Desktop Entry] Version=1.0 Type=Application Name=Pycharm #根据自己的安装位置灵活修改 Icon=/opt/pycharm-community-2019.1.1/bin/pycharm.png #根据自己的安装位置灵活修改...
sgx-lkl:SGX-LKL库操作系统,用于在Intel SGX安全区内运行Linux应用程序
04-30
SGX-LKL可以在SGX飞地运行这些应用程序,而无需修改或依赖于不受信任的主机OS。 已知的不兼容性记录在。 SGX-LKL项目包括几个组件: 以轻量级VM接口为模型的启动器和主机接口。 这记录在。 使用Linux内核库...
localhostd:在开发计算机上的.test域运行和提供Web应用程序
05-05
在开发计算机上的.test域运行和提供Web应用程序。 该项目的灵感来自: (仅限机架,OS X) 与酒店相比,该项目具有一些额外的功能: 完善的/可操作的终端机(由经过战斗加固的和) 也作为Electron / GUI应用...
DotNetBox不装FrameWork运行.NET程序.Net.rar
12-16
通过 DotNetBox,开发者和用户可以更轻松地在各种环境部署和运行 .NET 应用程序,而无需担心目标系统是否已安装 .NET Framework。这对于分发独立的、无需安装的 .NET 应用程序尤其有用,比如便携式应用程序或者在...
mac添加应用程序到启动台_为什么某些Mac应用程序需要“使用辅助功能控制这台计算机”?...
cum88284的博客
09-18 2911
mac添加应用程序到启动台Some apps, likeDropbox and Steam, will ask to “control this computer using accessibility features.” But what the heck does that even mean? 某些应用程序(例如Dropbox和Steam)将要求“使用辅助功能控制这台计算机”。 但这到底...
在系统启动时运行程序
08-02
在计算机操作系统,让程序在系统启动时自动运行是一种常见的需求,这通常涉及到系统服务、启动文件夹、注册表项等机制。以下是对这个主题的详细讲解: **系统启动过程** 1. **启动顺序**: 操作系统启动时,首先...
允许不安全的源
wangjianxiang945的博客
12-16 599
sudo apt-get update ---allow-insecure-repositories
centos下桌面快捷方式配置出现信任应用程序启动器的一个坑
release11的博客
01-27 2110
今天配置Chrome的快捷方式在命令行先进入了root,然后对chrome.desktop文件进行了配置,然后又把chrome.desktop文件cp到了桌面,结果发现桌面的文件却打不开,提示还没有被标记为可信任应用程序启动器,原来都只是trust一下就行了,结果居然没有trust选项,当时我人就傻了 网上找了几个方法,发现都没用 结果退出root态,在用户态下复制到桌面就成了,具体原因还没考究,等有时间了补上 ...
linux 在沙盒运行,在Linux的沙盒运行不受信任的C程序,阻止它打开文件,分叉等?...
weixin_31180441的博客
04-30 239
我已经使用Systrace到沙箱不受信任的程序交互式和自动模式。它有一个基于ptrace()的后端,允许它在没有特殊权限的Linux系统上使用,以及一个更快,更强大的后端,需要修补内核。也可以使用chroot(1)在类Unix系统上创建一个沙盒,虽然这不是那么容易或安全Linux Containers和FreeBSD jails是chroot的更好的替代品。在Linux上的另一个替代方案是使用...
vscode运行2个程序_如何在Linux安全运行不受信任应用程序
weixin_39867200的博客
11-10 143
有时您可能希望使用在不同环境经过良好测试的应用程序,但您必须使用它们。在这种情况下,关注系统的安全性是正常的。在Linux可以做的一件事是在沙箱使用应用程序。“沙盒”是在有限环境运行应用程序的能力。这样,应用程序就可以提供运行所需的大量资源。由于名为Firejail的应用程序,您可以安全地在Linux运行不受信任应用程序。Firejail是一个SUID(设置所有者用户ID)...
在ubuntu位置菜单添加文件夹,在应用程序菜单添加显示的应用程序启动
baiseda
11-09 142
1.在ubuntu位置菜单添加文件夹: 打开要添加的文件夹,选书签-添加书签菜单即可添加,要删除,选书签-编辑书签,找到刚才添加的文件夹,删除即可。 2.在应用程序菜单添加显示的应用程序启动器:(以我常用的奔流BT软件为例,安装位置在/opt/benliud下) (1)在奔流BT软件下载网站找到奔流的图标文件(以png为后缀),重命名为benliud.png,然后复制到usr/s...
[Ubuntu笔记]我的Linux之路--常见问题记录(添加)
WuWenL
12-24 442
此文章记录自己遇到的问题和解决方法,各位大牛如果觉得不对就帮忙纠错谢谢!信任应用程序启动器原因:这种情况一般原因是使用的root用户创建的,需要允许作为程序执行文件,由于程序所有者为root用户,普通用户无法访问. 解决方案: 1.先将文件权限所有者更改为普通用户chown 普通用户名 文件名2. 右击文件–属性–权限–勾选”允许作为程序执行文件”开机仅显示客人用户登录原因:将普通用户提升
Linux上监控应用程序启动 (hook execve系统调用)
weixin_42915431的博客
05-27 3878
​ 对于linuxx86-64平台,hook普通的系统调用是一件比较简单的事情,可以看hook系统调用完整实例讲解。但是对于execve、fork、clone等这些系统调用的hook却并没那么简单了。本文详细展示如何hook execve系统调用,针对rhel/centos 5.x 6.x 7.x 8.x发行版默认内核版本上测试正常。
Linux用shell脚本检查应用程序是否启动小例
DIANZI520SUA的专栏
03-17 1238
在实际Linux嵌入式项目开发应用程序的启动往往是通过在如/etc/init.d/rcS文件里添加需要运行应用程序或脚本文件,从而实现自启动功能,正常情况能如期运行,但不完美的世界总就会有不完美的事情,凡事不能YY的过于美好,由于软件或硬件的一些隐藏bug干扰(作者自己在写这篇文章时还暂定位到具体原因,后续若有进展会重新编辑该文章或在文章下以评论形式发布),这些设置自启动的应用程序或脚本并不能保证每次100%成功运行,所以才想到利用一监测脚本实现检查程序运行状态的功能(至于有的人会说你怎么能保证这个
Linux启动分析-init进程与app启动
abcxy2161的博客
07-15 1637
概述本文通过简要分析init进程源码,梳理其处理流程,重点关注init进程如何启动应用程序,总结启动脚本文件的编写思路init进程源码分析init进程是linux内核启动的第一个进程,怎么知道的?从内核源码linux-2.6.xxx/init/main.c代码的kernel_init()函数分析,可以发现,内核会根据uboot传入的参数来启动第一个进程,一般都是init怎么启动的呢,调用kernel
嵌入式Linux系统安全启动:从A到Z
在嵌入式Linux系统安全启动是一个至关重要的概念,它确保了设备从开机到运行的过程不会受到恶意软件的干扰。这份资料详细介绍了如何在基于i.MX6芯片的平台上实现这一过程,由Bootlin公司的专家Quentin Schulz...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值