firejail logo

Firejail, un sandbox universal para Linux

Firejail es un sandbox que usa SUID para reducir el riesgo de seguridad restringiendo el entorno de ejecución en aplicaciones de poca confianza.

SUID (Set User ID) es una forma de dar privilegios de ejecución a usuarios corrientes para ciertos programas que deben acceder a recursos que normalmente sólo se encuentra en poder de root.

Firejail puede hacer un sandbox a cualquier tipo de proceso, desde programas de la linea de comandos hasta aplicaciones con interfaz gráfica pasando por sesiones de usuario. Este programa está escrito en C y, en principio, no tiene ninguna dependencia por lo que debería funcionar en cualquier ordenador con Linux 3.x.

La utilidad de esta herramienta está en poder ejecutar programas sin que estos puedan modificar/dañar el sistema. Si quieres usar una aplicación en la que no confías, al usarla a través de Firejail, en el caso de que produzca cambios/daños, estos se quedan dentro del sandbox y no afectan al sistema. De esa forma, al cerrarla, todos los cambios que haya podido producir el programa, desaparecen.

Las funciones de Firejail son las siguientes:

· Separación de procesos: Firejail oculta todos los programas en ejecución. De esa forma, el programa que se ejecuta en el sandbox se llava el PID 1 y sólo puede ver los programas que él mismo ejecuta.

· Soporte para distintos tipos de sistemas de archivos:

· Sistema de archivos local, con el que se tendrá acceso sólo para lectura a todas la unidades montadas a excepción de /var, /tmp y /home donde también se podrá escribir.

· OverlayFS: Se usa este sistema de archivos en el que los cambios se mantienen almacenados, pero no dentro del sistema de archivos principal.

· Sistema chroot: se construye un árbol raíz completo ‘/’.

· Modo privado: se puede usar en todos los sistemas de archivos de arriba. Lo que hace es aislar el directorio del usuario ‘/home’ de los procesos que se están ejecutando dentro del sandbox montando un sistema de archivos temporal y vacío. Los archivos que se escriban en dicho directorio, desaparecen cuando se cierra el programa.

· Perfiles de seguridad: es una forma de configurar de forma sencilla un sistema de archivos existente. Permite al usuario especificar los archivos y directorios a los que no puede acceder el programa ejecutado dentro de Firejail ya sea marcándolo como de sólo lectura o creando un árbol de directorios vacíos que se borran al cerrar el sandbox.

· Soporte para redes: desde Firejail se pueden usar interfaces TCP/IP en los programas que se están ejecutando. Se puede usar para estableces DMZ (Demilitarized Zones) o para configurar redes temporales y así poder realizar pruebas en programas cliente/servidor.

Firejail se encuentra empaquetado para las principales distribuciones. Para conocer todos los detalles de esta herramienta, puedes visitar la web oficial de Firejail.

1 comentario en “Firejail, un sandbox universal para Linux

  1. Soy una usuaria casera. Vengo de usar Windows desde XP y ahora, ya por años, Windows 7. No tengo queja de ninguno. Sin embargo, con esto del Windows 10 (lo probé en mis equipos y en general fue una experiencia desagradable), me animé por fin a probar el famoso live CD de Ubuntu. Fue rápido y amigable; estoy segura que le voy a tomar gusto pronto. Antes de instalarlo definitivamente en mi laptop principal junto a Win 7, he estado haciendo una lista de los programas que uso regularmente para encontrar su equivalente en Linux y creo que este suplirá mi costumbre de usar Sandboxie con Chrome. Gracias por el dato. Saludos

Los comentarios están cerrados.