firejail命令 - Linux审计

工具概述

Firejail是一个用于沙盒化其他程序的工具，其主要目的是通过限制进程及其子进程能够查看或执行的操作来约束程序运行。

技术架构

为了实现沙盒功能，Firejail使用以下Linux安全特性：

Linux能力机制（capabilities）
命名空间（namespaces）
安全计算模式（seccomp-bpf）

Firejail当前实现使用SUID二进制文件，这意味着如果Firejail中存在可被利用的漏洞，将存在被攻击的风险。因此项目建议限制能够访问该工具的用户范围。

作为flatpak和snap的替代沙盒工具，Firejail无法与这些工具同时使用。

实用示例

追踪DNS请求

Firejail提供非常方便的--dnstrace选项来查看发起的DNS请求：

1
2
3
4
5
6


# firejail --dnstrace
DNS trace for Sun Dec 15 00:02:21 2024
00:02:28  192.168.123.1    _http._tcp.security.debian.org (type 33)
00:02:28  192.168.123.1    _http._tcp.deb.debian.org (type 33)
00:02:28  192.168.123.1    debian.map.fastlydns.net (type 1)
00:02:28  192.168.123.1    debian.map.fastlydns.net (type 28)

阻断能力测试

要查看工具是否使用任何能力，我们可以让Firejail阻断所有能力：

1
2


# firejail --caps.drop=all ping 192.168.1.1
/bin/bash: line 1: /usr/bin/ping: Operation not permitted

通过filecap命令发现ping需要特定能力：

1
2
3


# filecap /usr/bin/ping
set       file                 capabilities  rootid
effective /usr/bin/ping    net_raw

允许CAP_NET_RAW能力后ping命令恢复正常：

1
2
3


# firejail --caps.keep=net_raw ping -c 1 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=63 time=0.474 ms

项目信息

作者（别名）: netblue30
首个发布版本: 0.9
首个发布日期: 2014-04-12
许可证: GPLv2
需要root权限: 否

安装指南

操作系统	包名	安装命令
AlmaLinux	firejail	dnf install firejail
Arch Linux	firejail	pacman -S firejail
Debian	firejail	apt install firejail
Fedora	firejail	dnf install firejail
Red Hat Enterprise Linux	firejail	dnf install firejail
Rocky Linux	firejail	dnf install firejail
Ubuntu	firejail	apt install firejail

常用选项

选项	描述
`--apparmor`	启用AppArmor约束
`--build`	运行程序并构建使用允许列表概念的配置文件
`--caps.drop`	定义要丢弃的Linux能力
`--caps.keep`	定义应允许的Linux能力
`--version`	显示版本和内置应用程序支持

常见问题

什么是firejail命令及其用途？ Firejail是一个沙盒应用程序的工具，用于限制它们可以执行的操作。这是一个有用的工具，可以限制权限提升和漏洞利用的风险。

哪个包提供firejail命令？ firejail命令由firejail包提供。

Firejail沙盒技术详解：Linux应用程序安全隔离实战

本文深入解析Firejail沙盒工具的技术原理和使用方法，包括Linux能力机制、命名空间和seccomp-bpf的应用，通过实际命令演示如何追踪DNS请求和管理进程权限，帮助提升系统安全性。