የFirejail 0.9.72 ፕሮጀክት ታትሟል፣ ይህም ግራፊክስ፣ ኮንሶል እና ሰርቨር አፕሊኬሽኖችን ለብቻው የሚፈፀሙበት ስርዓትን ያዘጋጃል፣ ይህም የማይታመኑ ወይም ሊጎዱ የሚችሉ ፕሮግራሞችን በሚሰሩበት ጊዜ ዋናውን ስርዓት የመጉዳት አደጋን ለመቀነስ ያስችላል። ፕሮግራሙ በGPLv2 ፍቃድ የተከፋፈለ ሲሆን ከ3.0 በላይ የሆነ ከርነል ያለው በማንኛውም የሊኑክስ ስርጭት ላይ በሲ የተፃፈ ነው። ዝግጁ የሆኑ የFirejail ፓኬጆች የሚዘጋጁት በደብ (Debian፣ Ubuntu) እና rpm (CentOS፣ Fedora) ቅርፀቶች ነው።
ለማግለል ፋየርጄል በሊኑክስ ላይ የስም ቦታዎችን፣ አፕአርሞርን እና የስርዓት ጥሪ ማጣሪያን (ሰከንድ-ቢፒኤፍ) ይጠቀማል። አንዴ ከተጀመረ፣ ፕሮግራሙ እና ሁሉም የልጃቸው ሂደቶች እንደ የአውታረ መረብ ቁልል፣ የሂደት ሠንጠረዥ እና የመገጣጠሚያ ነጥቦች ያሉ የከርነል ሀብቶችን የተለያዩ እይታዎችን ይጠቀማሉ። እርስ በርስ ጥገኛ የሆኑ መተግበሪያዎች ወደ አንድ የጋራ ማጠሪያ ሊጣመሩ ይችላሉ. ከተፈለገ Firejail Docker፣ LXC እና OpenVZ ኮንቴይነሮችን ለማስኬድ ሊያገለግል ይችላል።
ከመያዣ ማግለል መሳሪያዎች በተቃራኒ ፋየርጄል ለማዋቀር እጅግ በጣም ቀላል ነው እና የስርዓት ምስል ማዘጋጀት አያስፈልገውም - የመያዣው ጥንቅር አሁን ባለው የፋይል ስርዓት ይዘት ላይ በመመርኮዝ በዝንብ ላይ ይመሰረታል እና ማመልከቻው ከተጠናቀቀ በኋላ ይሰረዛል። በፋይል ስርዓቱ ውስጥ የመዳረሻ ህጎችን ለማቀናበር ተለዋዋጭ መንገዶች ቀርበዋል ። የትኞቹ ፋይሎች እና ማውጫዎች እንደተፈቀደላቸው ወይም እንደተከለከሉ መወሰን ፣ ጊዜያዊ የፋይል ስርዓቶችን (tmpfs) ለውሂብ ማገናኘት ፣ የፋይሎች ወይም ማውጫዎችን ለንባብ ብቻ መገደብ ፣ ማውጫዎችን በማጣመር ማሰሪያ-ተራራ እና ተደራቢዎች.
ፋየርፎክስ፣ ክሮሚየም፣ ቪኤልሲ እና ማስተላለፊያን ጨምሮ ለብዙ ታዋቂ አፕሊኬሽኖች ዝግጁ የሆነ የስርዓት ጥሪ ማግለል መገለጫዎች ተዘጋጅተዋል። ማጠሪያ ያለበት አካባቢን ለማዘጋጀት አስፈላጊ የሆኑትን መብቶች ለማግኘት የእሳት ማጥፊያው ተጭኗል የ SUID ስር ባንዲራ (መብቶች ከተጀመሩ በኋላ እንደገና ይጀመራሉ)። ፕሮግራምን በገለልተኛ ሁነታ ለማሄድ በቀላሉ የመተግበሪያውን ስም እንደ ፋየርጄል መገልገያ እንደ መከራከሪያ ይግለጹ ለምሳሌ "firejail firefox" ወይም "sudo firejail /etc/init.d/nginx start".
በአዲሱ እትም፡-
- የስም ቦታዎችን መፍጠርን የሚያግድ የስርዓት ጥሪዎች ሴኮንድ ማጣሪያ ታክሏል (ለማንቃት የ"--restrict-namespaces" አማራጭ ታክሏል)። የዘመነ የሥርዓት ጥሪ ሠንጠረዦች እና ሰከንድ ቡድኖች።
- የተሻሻለ የforce-nonowprivs ሁነታ (NO_NEW_PRIVS)፣ ይህም አዳዲስ ሂደቶች ተጨማሪ ልዩ መብቶችን እንዳያገኙ ይከለክላል።
- የእራስዎን AppArmor መገለጫዎችን የመጠቀም ችሎታ ታክሏል (የ "--apparmor" አማራጭ ለግንኙነት ቀርቧል).
- ከእያንዳንዱ አድራሻ ስለ አይ ፒ እና የትራፊክ ጥንካሬ መረጃን የሚያሳየው የnettrace አውታረ መረብ ትራፊክ መከታተያ ስርዓት የ ICMP ድጋፍን በመተግበር "--dnstrace", "--icmptrace" እና "--snitrace" አማራጮችን ያቀርባል.
- --cgroup እና --shell ትዕዛዞች ተወግደዋል (ነባሪው --shell= የለም)። የFiretunnel ግንባታ በነባሪነት ቆሟል። ተሰናክሏል chroot፣ private-lib እና tracelog settings in /etc/firejail/firejail.config. የ grsecurity ድጋፍ ተቋርጧል።
ምንጭ: opennet.ru