layihə buraxılışı , onun daxilində qrafik, konsol və server proqramlarının təcrid olunmuş şəkildə icrası üçün sistem hazırlanır. Firejail-dən istifadə etibarsız və ya potensial olaraq həssas proqramları işlədərkən əsas sistemə zərər vurma riskini minimuma endirməyə imkan verir. Proqram C dilində yazılmışdır, GPLv2 altında lisenziyalıdır və nüvəsi 3.0-dan köhnə olan istənilən Linux paylamasında işləyə bilər. Firejail ilə hazır paketlər deb (Debian, Ubuntu) və rpm (CentOS, Fedora) formatlarında.
Firejail-də təcrid üçün ad boşluqları, AppArmor və Linux-da sistem zənglərinin filtrasiyası (seccomp-bpf). Başladıqdan sonra proqram və onun bütün uşaq prosesləri şəbəkə yığını, proses cədvəli və quraşdırma nöqtələri kimi nüvə resurslarının ayrı-ayrı görünüşlərindən istifadə edir. Bir-birindən asılı olan proqramlar bir ümumi sandboxda birləşdirilə bilər. Arzu edilərsə, Firejail Docker, LXC və OpenVZ konteynerlərini işə salmaq üçün də istifadə edilə bilər.
Konteyner izolyasiya alətlərindən fərqli olaraq, yanğın qapısı son dərəcədir konfiqurasiyadadır və sistem təsvirinin hazırlanmasını tələb etmir - konteyner tərkibi cari fayl sisteminin məzmunu əsasında tez formalaşır və tətbiq tamamlandıqdan sonra silinir. Fayl sisteminə giriş qaydalarını təyin etmək üçün çevik vasitələr təqdim olunur; siz hansı fayl və qovluqlara icazə verildiyini və ya icazə verilmədiyini müəyyən edə, məlumatlar üçün müvəqqəti fayl sistemlərini (tmpfs) qoşa, fayl və ya qovluqlara girişi yalnız oxumaq üçün məhdudlaşdıra, qovluqları birləşdirə bilərsiniz. bind-mount və overlayfs.
Firefox, Chromium, VLC və Transmission daxil olmaqla çoxlu sayda populyar proqramlar üçün hazırdır sistem zəng izolyasiyası. Proqramı izolyasiya rejimində işə salmaq üçün sadəcə olaraq proqram adını firejail yardım proqramına arqument kimi göstərin, məsələn, “firejail firefox” və ya “sudo firejail /etc/init.d/nginx start”.
Yeni buraxılışda:
- Zərərli prosesin sistem çağırışının məhdudlaşdırılması mexanizmini keçməsinə imkan verən boşluq aradan qaldırılıb. Zəifliyin mahiyyəti ondan ibarətdir ki, Seccomp filtrləri təcrid olunmuş mühitdə yazıla bilən /run/firejail/mnt qovluğuna kopyalanır. İzolyasiya rejimində işləyən zərərli proseslər bu faylları dəyişdirə bilər ki, bu da eyni mühitdə işləyən yeni proseslərin sistem çağırışı filtrini tətbiq etmədən icrasına səbəb olacaq;
- Yaddaş-inkar-yazma-icra filtri “memfd_create” çağırışının bloklanmasını təmin edir;
- Həbsxana üçün iş kataloqunu dəyişdirmək üçün yeni "private-cwd" seçimi əlavə edildi;
- D-Bus rozetkalarını bloklamaq üçün "--nodbus" seçimi əlavə edildi;
- CentOS 6 üçün geri qaytarılan dəstək;
- formatlarda paketlərə dəstək и .
bu paketlər öz alətlərindən istifadə etməlidirlər; - mypaint, nano, xfce87-mixer, gnome-keyring, redshift, font-manager, gconf-redaktor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, daxil olmaqla 4 əlavə proqramı təcrid etmək üçün yeni profillər əlavə edilib. freemind, kid3, freecol, opencity, utox, freeoffice-planker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp and cantata.
Mənbə: opennet.ru