إطلاق المشروع ، حيث يتم تطوير نظام للتنفيذ المعزول للتطبيقات الرسومية ووحدة التحكم والخادم. يتيح لك استخدام Firejail تقليل مخاطر اختراق النظام الرئيسي عند تشغيل برامج غير جديرة بالثقة أو من المحتمل أن تكون عرضة للخطر. البرنامج مكتوب بلغة السي مرخص بموجب رخصة جنو العمومية الإصدار الثاني (GPLv2) ويمكن تشغيله على أي توزيعة. Linux مع نواة أقدم من الإصدار 3.0. حزم جاهزة مع Firejail بصيغة deb (Debian, Ubuntu) و دورة في الدقيقة (CentOS(فيدورا).
للعزلة في Firejail مساحات الأسماء، وAppArmor، وتصفية استدعاءات النظام (seccomp-bpf) في Linuxبمجرد تشغيل البرنامج، تستخدم جميع عملياته الفرعية تمثيلات منفصلة لموارد النواة، مثل حزمة الشبكة وجدول العمليات ونقاط التحميل. ويمكن دمج التطبيقات المترابطة في بيئة معزولة مشتركة واحدة. كما يمكن استخدام Firejail، اختيارياً، لتشغيل حاويات Docker وLXC وOpenVZ.
على عكس أدوات عزل الحاويات، فإن مقاومة الحرائق شديدة للغاية في التكوين ولا يتطلب إعداد صورة النظام - يتم تكوين تركيبة الحاوية بسرعة بناءً على محتويات نظام الملفات الحالي ويتم حذفها بعد اكتمال التطبيق. يتم توفير وسائل مرنة لإعداد قواعد الوصول إلى نظام الملفات؛ يمكنك تحديد الملفات والأدلة المسموح لها أو المرفوضة الوصول إليها، وتوصيل أنظمة الملفات المؤقتة (tmpfs) للبيانات، وتقييد الوصول إلى الملفات أو الدلائل للقراءة فقط، ودمج الدلائل من خلال ربط جبل والتراكبات.
لعدد كبير من التطبيقات الشائعة، بما في ذلك Firefox وChromium وVLC وTransmission، الجاهزة عزل مكالمات النظام. لتشغيل برنامج في وضع العزل، ما عليك سوى تحديد اسم التطبيق كوسيطة لأداة firejail المساعدة، على سبيل المثال، "firejail firefox" أو "sudo firejail /etc/init.d/nginx start".
في الإصدار الجديد:
- تم إصلاح الثغرة الأمنية التي تسمح لعملية ضارة بتجاوز آلية تقييد مكالمات النظام. جوهر الثغرة الأمنية هو أن مرشحات Seccomp يتم نسخها إلى الدليل /run/firejail/mnt، وهو دليل قابل للكتابة داخل البيئة المعزولة. يمكن للعمليات الضارة التي تعمل في وضع العزل أن تعدل هذه الملفات، مما سيؤدي إلى تنفيذ العمليات الجديدة التي تعمل في نفس البيئة دون تطبيق مرشح استدعاء النظام؛
- يضمن مرشح رفض الذاكرة والكتابة والتنفيذ حظر استدعاء "memfd_create"؛
- تمت إضافة خيار جديد "private-cwd" لتغيير دليل العمل للسجن؛
- تمت إضافة خيار "--nodbus" لحظر مآخذ توصيل D-Bus؛
- الدعم عاد CentOS 6;
- دعم الحزم في التنسيقات и .
وأن هذه الحزم يجب أن تستخدم أدواتها الخاصة؛ - تمت إضافة ملفات تعريف جديدة لعزل 87 برنامجًا إضافيًا، بما في ذلك mypaint، وnano، وxfce4-mixer، وgnome-keyring، وredshift، وfont-manager، وgconf-editor، وgsettings، وfreeciv، وlincity-ng، وopenttd، وtorcs، وtremulous، وwarsow، freemind، kid3، freecol، opencity، utox، freeoffice-planmaker، freeoffice-presentations، freeoffice-textmaker،inkview، meteo-qt، ktouch، yelp وcantata.
المصدر: opennet.ru
