Qrafik, konsol və server proqramlarının təcrid olunmuş şəkildə icrası üçün sistem işləyib hazırlayan, etibarsız və ya potensial olaraq həssas proqramlar işləyərkən əsas sistemə zərər vurma riskini minimuma endirməyə imkan verən Firejail 0.9.72 layihəsinin buraxılışı dərc olunub. Proqram C dilində yazılmışdır, GPLv2 lisenziyası ilə paylanmışdır və nüvəsi 3.0-dan yuxarı olan istənilən Linux paylamasında işləyə bilər. Hazır Firejail paketləri deb (Debian, Ubuntu) və rpm (CentOS, Fedora) formatlarında hazırlanır.
Təcrid üçün Firejail Linux-da ad boşluqlarından, AppArmor-dan və sistem zənglərinin filtrasiyasından (seccomp-bpf) istifadə edir. Başladıqdan sonra proqram və onun bütün uşaq prosesləri şəbəkə yığını, proses cədvəli və quraşdırma nöqtələri kimi nüvə resurslarının ayrıca görünüşlərindən istifadə edir. Bir-birindən asılı olan proqramlar bir ümumi sandboxda birləşdirilə bilər. Arzu edilərsə, Firejail Docker, LXC və OpenVZ konteynerlərini işə salmaq üçün də istifadə edilə bilər.
Konteyner izolyasiya alətlərindən fərqli olaraq, firejail-in konfiqurasiyası olduqca sadədir və sistem təsvirinin hazırlanmasını tələb etmir - konteyner tərkibi cari fayl sisteminin məzmunu əsasında tez formalaşır və tətbiq tamamlandıqdan sonra silinir. Fayl sisteminə giriş qaydalarını təyin etmək üçün çevik vasitələr təqdim olunur; siz hansı fayl və qovluqlara icazə verildiyini və ya icazə verilmədiyini müəyyən edə, məlumatlar üçün müvəqqəti fayl sistemlərini (tmpfs) qoşa, fayl və ya qovluqlara girişi yalnız oxumaq üçün məhdudlaşdıra, qovluqları birləşdirə bilərsiniz. bind-mount və overlayfs.
Firefox, Chromium, VLC və Transmission daxil olmaqla çox sayda populyar proqramlar üçün hazır sistem zəng izolyasiya profilləri hazırlanmışdır. Qum qutusu mühitini qurmaq üçün lazım olan imtiyazları əldə etmək üçün firejail icra olunan proqram SUID kök bayrağı ilə quraşdırılır (imtiyazlar işə salındıqdan sonra sıfırlanır). Proqramı izolyasiya rejimində işə salmaq üçün sadəcə olaraq proqram adını firejail yardım proqramına arqument kimi göstərin, məsələn, “firejail firefox” və ya “sudo firejail /etc/init.d/nginx start”.
Yeni buraxılışda:
- Ad boşluqlarının yaradılmasını bloklayan sistem zəngləri üçün seccomp filtri əlavə edildi (aktiv etmək üçün “--məhdudlaşdırma-ad boşluqları” seçimi əlavə edilmişdir). Yenilənmiş sistem zəng cədvəlləri və seccomp qrupları.
- Təkmilləşdirilmiş force-nonewprivs rejimi (NO_NEW_PRIVS), yeni proseslərin əlavə imtiyazlar əldə etməsinə mane olur.
- Öz AppArmor profillərinizdən istifadə etmək imkanı əlavə edildi (qoşulmaq üçün “--apparmor” seçimi təklif olunur).
- Hər bir ünvandan IP və trafik intensivliyi haqqında məlumatları göstərən nettrace şəbəkə trafikinin izlənilməsi sistemi ICMP dəstəyini həyata keçirir və “--dnstrace”, “--icmptrace” və “--snitrace” seçimlərini təklif edir.
- --cgroup və --shell əmrləri silindi (defolt olaraq --shell=none). Firetunnel qurulması standart olaraq dayandırılır. /etc/firejail/firejail.config-də chroot, private-lib və tracelog parametrləri deaktiv edilib. grsecurity dəstəyi dayandırıldı.
Mənbə: opennet.ru