https://github.com/netblue30/firejail
https://firejail.wordpress.com/documentation-2/
Firejail é uma ferramenta de sandbox que permite isolar processos no Linux com controles rígidos sobre rede, sistema de arquivos, permissões e mais — tudo com um simples comando.
sudo apt install firejail
firejail --net=none ./my-suspicious-app
Esse comando bloqueia completamente o acesso à rede (internet e LAN) do processo, sem precisar de configurações complexas.
| 🔧 Parâmetro | 📝 Descrição | 💡 Exemplo |
|---|---|---|
--net=none |
Bloqueia todo acesso à rede (LAN e internet) | firejail --net=none ./app |
--net=eth0 |
Usa apenas a interface eth0 para rede |
firejail --net=eth0 ./app |
--netfilter=arquivo |
Aplica regras de firewall (iptables) ao processo | firejail --netfilter=firewall.flt ./app |
--private |
Cria um sistema de arquivos temporário e isolado | firejail --private ./app |
--private-home=DIR1,DIR2 |
Isola o home e permite acesso apenas a pastas específicas | firejail --private-home=.config,.local ./app |
--private-etc=DIR1,DIR2 |
Permite acesso apenas a partes específicas de /etc |
firejail --private-etc=ssl,hosts ./app |
--read-only=PATH |
Torna diretórios/arquivos somente leitura | firejail --read-only=/etc ./app |
--user=nobody |
Executa o processo como o usuário nobody (mínimos privilégios) |
firejail --user=nobody ./app |
--whitelist=PATH |
Permite acesso apenas a arquivos/diretórios específicos | firejail --whitelist=/home/user/teste.sh ./teste.sh |
--seccomp |
Ativa filtros de syscalls para bloquear chamadas perigosas | firejail --seccomp ./app |
--caps.drop=all |
Remove todas as capabilities do processo | firejail --caps.drop=all ./app |
--cpu=0 |
Restringe o processo a um único núcleo da CPU | firejail --cpu=0 ./app |
--nodbus |
Bloqueia comunicação via D-Bus | firejail --nodbus ./app |
--nosound |
Impede acesso a drivers de som | firejail --nosound ./app |
--nogroups |
Remove os grupos secundários do processo | firejail --nogroups ./app |