ProHoster > بلوق > أخبار الإنترنت > إصدار نظام عزل تطبيقات Firejail 0.9.60

إصدار نظام عزل تطبيقات Firejail 0.9.60

رأى الضوء إطلاق المشروع فايرجيل 0.9.60، حيث يتم تطوير نظام للتنفيذ المعزول للتطبيقات الرسومية ووحدة التحكم والخادم. يتيح لك استخدام Firejail تقليل مخاطر اختراق النظام الرئيسي عند تشغيل برامج غير جديرة بالثقة أو من المحتمل أن تكون عرضة للخطر. البرنامج مكتوب بلغة السي وزعت من خلال مرخص بموجب GPLv2 ويمكن تشغيله على أي توزيعة Linux بنواة أقدم من 3.0. حزم جاهزة مع Firejail معد بتنسيقات deb (Debian وUbuntu) وrpm (CentOS وFedora).

للعزلة في Firejail تستخدم مساحات الأسماء، وAppArmor، وتصفية مكالمات النظام (seccomp-bpf) في Linux. بمجرد إطلاق البرنامج، يستخدم البرنامج وجميع عملياته الفرعية طرق عرض منفصلة لموارد kernel، مثل مكدس الشبكة وجدول العمليات ونقاط التحميل. يمكن دمج التطبيقات التي تعتمد على بعضها البعض في صندوق حماية مشترك واحد. إذا رغبت في ذلك، يمكن أيضًا استخدام Firejail لتشغيل حاويات Docker وLXC وOpenVZ.

على عكس أدوات عزل الحاويات، فإن مقاومة الحرائق شديدة للغاية بسيط في التكوين ولا يتطلب إعداد صورة النظام - يتم تكوين تركيبة الحاوية بسرعة بناءً على محتويات نظام الملفات الحالي ويتم حذفها بعد اكتمال التطبيق. يتم توفير وسائل مرنة لإعداد قواعد الوصول إلى نظام الملفات؛ يمكنك تحديد الملفات والأدلة المسموح لها أو المرفوضة الوصول إليها، وتوصيل أنظمة الملفات المؤقتة (tmpfs) للبيانات، وتقييد الوصول إلى الملفات أو الدلائل للقراءة فقط، ودمج الدلائل من خلال ربط جبل والتراكبات.

لعدد كبير من التطبيقات الشائعة، بما في ذلك Firefox وChromium وVLC وTransmission، الجاهزة لمحات عزل مكالمات النظام. لتشغيل برنامج في وضع العزل، ما عليك سوى تحديد اسم التطبيق كوسيطة لأداة firejail المساعدة، على سبيل المثال، "firejail firefox" أو "sudo firejail /etc/init.d/nginx start".

في الإصدار الجديد:

  • تم إصلاح الثغرة الأمنية التي تسمح لعملية ضارة بتجاوز آلية تقييد مكالمات النظام. جوهر الثغرة الأمنية هو أن مرشحات Seccomp يتم نسخها إلى الدليل /run/firejail/mnt، وهو دليل قابل للكتابة داخل البيئة المعزولة. يمكن للعمليات الضارة التي تعمل في وضع العزل أن تعدل هذه الملفات، مما سيؤدي إلى تنفيذ العمليات الجديدة التي تعمل في نفس البيئة دون تطبيق مرشح استدعاء النظام؛
  • يضمن مرشح رفض الذاكرة والكتابة والتنفيذ حظر استدعاء "memfd_create"؛
  • تمت إضافة خيار جديد "private-cwd" لتغيير دليل العمل للسجن؛
  • تمت إضافة خيار "--nodbus" لحظر مآخذ توصيل D-Bus؛
  • تم إرجاع الدعم لـ CentOS 6؛
  • توقف دعم الحزم في التنسيقات flatpak и عض.
    مبينوأن هذه الحزم يجب أن تستخدم أدواتها الخاصة؛

  • تمت إضافة ملفات تعريف جديدة لعزل 87 برنامجًا إضافيًا، بما في ذلك mypaint، وnano، وxfce4-mixer، وgnome-keyring، وredshift، وfont-manager، وgconf-editor، وgsettings، وfreeciv، وlincity-ng، وopenttd، وtorcs، وtremulous، وwarsow، freemind، kid3، freecol، opencity، utox، freeoffice-planmaker، freeoffice-presentations، freeoffice-textmaker،inkview، meteo-qt، ktouch، yelp وcantata.

المصدر: opennet.ru

إضافة تعليق