تم نشر إصدار مشروع Firejail 0.9.72، الذي يطور نظامًا للتنفيذ المعزول للتطبيقات الرسومية ووحدة التحكم والخادم، مما يسمح بتقليل مخاطر اختراق النظام الرئيسي عند تشغيل برامج غير جديرة بالثقة أو من المحتمل أن تكون عرضة للخطر. البرنامج مكتوب بلغة C، ويتم توزيعه بموجب ترخيص GPLv2 ويمكن تشغيله على أي توزيعة Linux مع نواة أقدم من 3.0. يتم إعداد حزم Firejail الجاهزة بتنسيقات deb (Debian وUbuntu) وrpm (CentOS وFedora).
للعزل، يستخدم Firejail مساحات الأسماء، وAppArmor، وتصفية مكالمات النظام (seccomp-bpf) على Linux. بمجرد إطلاق البرنامج، يستخدم البرنامج وجميع عملياته الفرعية طرق عرض منفصلة لموارد kernel، مثل مكدس الشبكة وجدول العمليات ونقاط التحميل. يمكن دمج التطبيقات التي تعتمد على بعضها البعض في صندوق حماية مشترك واحد. إذا رغبت في ذلك، يمكن أيضًا استخدام Firejail لتشغيل حاويات Docker وLXC وOpenVZ.
على عكس أدوات عزل الحاويات، فإن إعداد firejail بسيط للغاية ولا يتطلب إعداد صورة النظام - يتم تكوين تكوين الحاوية بسرعة بناءً على محتويات نظام الملفات الحالي ويتم حذفه بعد اكتمال التطبيق. يتم توفير وسائل مرنة لإعداد قواعد الوصول إلى نظام الملفات؛ يمكنك تحديد الملفات والأدلة المسموح لها أو المرفوضة الوصول إليها، وتوصيل أنظمة الملفات المؤقتة (tmpfs) للبيانات، وتقييد الوصول إلى الملفات أو الدلائل للقراءة فقط، ودمج الدلائل من خلال ربط جبل والتراكبات.
بالنسبة لعدد كبير من التطبيقات الشائعة، بما في ذلك Firefox وChromium وVLC وTransmission، تم إعداد ملفات تعريف جاهزة لعزل مكالمات النظام. للحصول على الامتيازات اللازمة لإعداد بيئة وضع الحماية، يتم تثبيت ملف firejail القابل للتنفيذ باستخدام علامة جذر SUID (تتم إعادة تعيين الامتيازات بعد التهيئة). لتشغيل برنامج في وضع العزل، ما عليك سوى تحديد اسم التطبيق كوسيطة لأداة firejail المساعدة، على سبيل المثال، "firejail firefox" أو "sudo firejail /etc/init.d/nginx start".
في الإصدار الجديد:
- تمت إضافة مرشح seccomp لاستدعاءات النظام الذي يمنع إنشاء مساحات الأسماء (تمت إضافة خيار "--restrict-namespaces" لتمكينه). تحديث جداول استدعاء النظام ومجموعات seccomp.
- وضع Force-nonewprivs المحسّن (NO_NEW_PRIVS)، والذي يمنع العمليات الجديدة من الحصول على امتيازات إضافية.
- تمت إضافة القدرة على استخدام ملفات تعريف AppArmor الخاصة بك (يتم تقديم خيار "--apparmor" للاتصال).
- نظام تتبع حركة مرور شبكة nettrace، الذي يعرض معلومات حول IP وكثافة حركة المرور من كل عنوان، يطبق دعم ICMP ويقدم خيارات "--dnstrace"، و"--icmptrace" و"--snitrace".
- تمت إزالة أوامر --cgroup و --shell (الأمر الافتراضي هو --shell=none). يتم إيقاف إنشاء Firetunnel افتراضيًا. تم تعطيل إعدادات chroot وprivate-lib وtracelog في /etc/firejail/firejail.config. لقد تم إيقاف دعم grsecurity.
المصدر: opennet.ru