A long time ago in a galaxy far, far Away, a group of friends set out on a journey... 🚀

[friends@banana ~]$ git init .

🔘 #Memory

گاهی وقت لازم هست یک برنامه رو به صورت ایزوله و سندباکس اجرا کنیم. یکی از برنامه هایی که این کار رو انجام میده Firejail هست و هر برنامه رو در یک Namespace جداگانه اجرا می‌کنه.

‌‏Namespace توی لینوکس قابلیتیه برای جداسازی منابع سیستم. هر پردازش داخل فضای مشخص خودش اجرا میشه و دید محدودی نسبت به منابع داره؛ طوری که انگار روی یک سیستم مستقل کار میکنه. این قابلیت برای ایزوله کردن یک پردازش از سایر پردازش‌های سیستم مناسبه.


طرز کار ساده ایی داره و این امکان رو میده برای هر برنامه پروفایل جداگانه تعریف کنیم و دسترسی‌هاش رو مشخص و محدود کنیم. برای مثال:

whitelist /opt/maple
whitelist /home/linux_exp/.maplesoft/
net none
private
private-tmp
seccomp
caps.drop all

توضیح تنظیمات پروفایل بالا:

‏🔹 whitelist: دسترسی فقط به مسیرهای مشخص (مثل cache و مسیری که برنامه قرار داره تا بتونه درست کار کنه)
‏🔹 net none: قطع کامل اینترنت و شبکه
‏🔹 private / private-tmp: دایرکتوری ها در یک فایل سیستم موقت روی tmp/ ایجاد میشن
‏🔹 seccomp: محدود کردن syscallهای مهم
‏🔹 caps.drop all: حذف همه دسترسی‌های ویژه (حتی با sudo هم امکان کارهایی مثل mount/unmount رو نداره)

بعد از ساخت و ذخیره پروفایل، اون رو همراه با برنامه‌ایی که می‌خوایم اجرا کنیم به Firejail می‌دیم:

firejail --profile=~/.config/firejail/maple.profile maple &

توی مخازن اکثر توزیع ها هستش میتونید نصب و استفاده کنید.

🔘 @linux_exp | #Linux #Firejail