ProHoster > Blog > internet nuus > Firejail 0.9.62 Toepassingsisolasievrystelling

Firejail 0.9.62 Toepassingsisolasievrystelling

Na ses maande van ontwikkeling beskikbaar projek vrystelling Vuurgevangenis 0.9.62, waarbinne 'n stelsel ontwikkel word vir geïsoleerde uitvoering van grafiese, konsole- en bedienertoepassings. Deur Firejail te gebruik, kan u die risiko verminder dat u die hoofstelsel in gevaar stel wanneer u onbetroubare of potensieel kwesbare programme gebruik. Die program is in C-taal geskryf, versprei deur gelisensieer onder GPLv2 en kan op enige verspreiding loop Linux met 'n kern ouer as 3.0. Kant-en-klare pakkette met Firejail voorberei in deb-formate (Debian, Ubuntu) en rpm (CentOS, Fedora).

Vir isolasie in Firejail word gebruik naamruimtes, AppArmor en stelseloproepfiltering (seccomp-bpf) in LinuxSodra dit gelanseer is, gebruik 'n program en al sy kindprosesse afsonderlike voorstellings van kernhulpbronne, soos die netwerkstapel, prosestabel en monteringspunte. Onderling afhanklike toepassings kan in 'n enkele gedeelde sandput gekombineer word. Firejail kan ook gebruik word om Docker-, LXC- en OpenVZ-houers te laat loop.

Anders as houer-isolasie-gereedskap, is vuurgevangenis uiters maklik in die opset en vereis nie die voorbereiding van 'n stelselbeeld nie - die houersamestelling word dadelik gevorm op grond van die inhoud van die huidige lêerstelsel en word uitgevee nadat die toepassing voltooi is. Buigsame maniere om toegangsreëls tot die lêerstelsel in te stel, kan bepaal watter lêers en gidse toegang toegelaat of geweier word, tydelike lêerstelsels (tmpfs) vir data koppel, toegang tot lêers of gidse beperk tot leesalleen, gidse kombineer deur; bind-berg en oorlegsels.

Vir 'n groot aantal gewilde toepassings, insluitend Firefox, Chromium, VLC en Transmission, gereed gemaak profiele stelsel oproep isolasie. Om die regte te verkry wat nodig is om 'n sandbox-omgewing op te stel, word die firejail-uitvoerbare bestand geïnstalleer met die SUID-wortelvlag (voorregte word teruggestel na inisialisering). Om 'n program in isolasiemodus te laat loop, spesifiseer eenvoudig die toepassingsnaam as 'n argument vir die firejail-nutsding, byvoorbeeld "firejail firefox" of "sudo firejail /etc/init.d/nginx start".

In die nuwe vrystelling:

  • In die konfigurasielêer /etc/firejail/firejail.config bygevoeg lêer-kopie-limiet-instelling, wat jou toelaat om die grootte van lêers wat na die geheue gekopieer sal word, te beperk wanneer die “--privaat-*” opsies gebruik word (die limiet is by verstek op 500MB gestel).
  • Sjablone vir die skep van nuwe toepassingsbeperkingsprofiele is by die /usr/share/doc/firejail-gids gevoeg.
  • Profiele laat die gebruik van ontfouters toe.
  • Verbeterde filtering van stelseloproepe deur die seccomp-meganisme te gebruik.
  • Outo-opsporing van samestellervlae word verskaf.
  • Die chroot-oproep word nie meer gemaak op grond van die pad nie, maar met behulp van bergpunte gebaseer op die lêerbeskrywer.
  • Die /usr/share-gids is gewitlys deur verskeie profiele.
  • Nuwe helper-skrifte gdb-firejail.sh en sort.py is by die conrib-afdeling gevoeg.
  • Versterkte beskerming by die uitvoeringstadium van bevoorregte kode (SUID).
  • Vir profiele is nuwe voorwaardelike kenmerke HAS_X11 en HAS_NET geïmplementeer om die teenwoordigheid van 'n X-bediener en netwerktoegang na te gaan.
  • Bygevoeg profiele vir geïsoleerde toepassing bekendstelling (die totale aantal profiele het toegeneem tot 884):
    • i2p,
    • tor-blaaier (AUR),
    • Zulip,
    • rsinc
    • sein-cli
    • tcpdump
    • tshark,
    • qgis
    • OpenArena,
    • godot,
    • klateksformule,
    • klatexformula_cmdl,
    • skakels
    • xlinks,
    • pandok
    • spanne-vir-linux,
    • kabouter-klank-opnemer,
    • nuusberigte,
    • keeppassxc-cli,
    • keeppassxc-proxy,
    • rhythmbox-kliënt,
    • jerrie
    • ywer,
    • mpg123,
    • speel,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • uit123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-oop,
    • mpg123-oss,
    • mpg123-portoud,
    • mpg123-puls,
    • mpg123-strook,
    • pavucontrol-qt,
    • kabouter-karakters,
    • kabouter-karakter-kaart,
    • Walvisvoël
    • tb-voorgereg-omhulsel,
    • bzcat,
    • kiwix-lessenaar,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar,
    • kabouter-latex,
    • pngquant
    • kalgebra
    • kalgebramobiel,
    • geamuleer
    • kfind,
    • vloektaal
    • oudio-opnemer,
    • kameramonitor
    • ddgtk
    • drawio,
    • unf,
    • gmpc,
    • elektron-pos,
    • kern
    • kern-plak.

Bron: opennet.ru

Koop betroubare hosting vir werwe met DDoS-beskerming, VPS VDS-bedieners 🔥 Koop betroubare webwerfhosting met DDoS-beskerming, VPS VDS-bedieners | ProHoster