Si requieres de una mayor seguridad a la hora de ejecutar una aplicación, es recomendable usar Firejail te brinda una capa adicional de protección.
Firejail se encarga de crear un sandbox en el que trabajar sin miedo a ser infectado o romper algo en tu ordenador por error.
Ósea, se genera un escritorio totalmente aislado.
Debes tener en cuenta que antes de ejecutar Firejail debes haber configurado Timeshift, o si no se podrían dar problemas.
Introducción a Firejail
Firejail es un software muy fácil de usar, inicialmente desarrollado para hacer que Firefox sea más seguro aislándolo (colocándolo en un sandbox) del resto del sistema.
Pero Firejail se desarrollo más allá de eso y se puede usar simultáneamente en diferentes partes de todo el sistema.
Merece la pena leer más sobre el proyecto en el sitio oficial de la aplicación Firejail.
Desde la página de Github se define a Firejail así:
Firejail es un programa capaz de generar espacios aislados de SUID que reduce el riesgo de infracciones de seguridad al restringir el entorno de ejecución de aplicaciones que no son de confianza utilizando espacios de nombres de Linux, seccomp-bpf y otras capacidades de Linux.
Permite que un proceso y todos sus descendientes tengan su propia vista privada de los recursos del kernel compartidos globalmente, como la pila de red, la tabla de procesos, la tabla de montaje.
Firejail está disponible en los repositorios. Instálelo usando su administrador de paquetes sináptico o desde la terminal con el siguiente comando.
sudo apt install firejail
Para un solo uso, simplemente prefija el comando o aplicación que desees ejecutar mediante firejail:
firejail firefox
Para integrar Firejail en todo el escritorio. Cada aplicación que inicies utilizará el sandbox de firejail si es compatible de forma predeterminada.
Debes ejecutar el comando:
sudo firecfg
La impresión del terminal te mostrará una lista de todas las aplicaciones compatibles. El equipo de firejail también desarrolla una interfaz gráfica de usuario para firejail llamada firetools.
Puedes usar la opción –-net=none
para asegurarte de que firejail no permita ningún acceso a la red, por ejemplo, prohibir el acceso a la red de la aplicación Thunderbird:
firejail –-net=none thunderbird
Pero debes tener en cuenta de que esa opción bloqueará también el acceso a la red local, como el acceso a las carpetas compartidas.
Si quieres seguir teniendo acceso a la red local, pero bloquear el acceso de la aplicación a Internet debes usar --protocol=unix
. Por ejemplo:
firejail --protocol=unix thunderbird