Firejail 0.9.72 Изолирано издание на приложението

Публикувана е версията на проекта Firejail 0.9.72, който разработва система за изолирано изпълнение на графични, конзолни и сървърни приложения, което позволява да се сведе до минимум рискът от компрометиране на основната система при стартиране на ненадеждни или потенциално уязвими програми. Програмата е написана на C, разпространява се под лиценз GPLv2 и може да работи на всяка Linux дистрибуция с ядро, по-старо от 3.0. Готовите Firejail пакети се подготвят във формати deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

За изолация Firejail използва пространства от имена, AppArmor и филтриране на системни повиквания (seccomp-bpf) на Linux. Веднъж стартирана, програмата и всички нейни дъщерни процеси използват отделни изгледи на ресурсите на ядрото, като мрежов стек, таблица на процеси и точки на монтиране. Приложенията, които са зависими едно от друго, могат да бъдат комбинирани в един общ пясъчник. Ако желаете, Firejail може да се използва и за стартиране на Docker, LXC и OpenVZ контейнери.

За разлика от инструментите за изолиране на контейнери, firejail е изключително лесен за конфигуриране и не изисква подготовка на системно изображение - съставът на контейнера се формира в движение въз основа на съдържанието на текущата файлова система и се изтрива след завършване на приложението. Осигурени са гъвкави средства за задаване на правила за достъп до файловата система; можете да определите кои файлове и директории са разрешени или отказани за достъп, да свържете временни файлови системи (tmpfs) за данни, да ограничите достъпа до файлове или директории само за четене, да комбинирате директории чрез bind-mount и overlayfs.

За голям брой популярни приложения, включително Firefox, Chromium, VLC и Transmission, са изготвени готови профили за изолиране на системни повиквания. За да получите привилегиите, необходими за настройка на среда в пясъчна среда, изпълнимият файл на firejail се инсталира с SUID root флаг (привилегиите се нулират след инициализация). За да стартирате програма в режим на изолация, просто посочете името на приложението като аргумент на помощната програма firejail, например „firejail firefox“ или „sudo firejail /etc/init.d/nginx start“.

В новата версия:

• Добавен е seccomp филтър за системни извиквания, който блокира създаването на пространства от имена (опцията „--restrict-namespaces“ е добавена за активиране). Актуализирани таблици на системни повиквания и групи seccomp.
• Подобрен режим принудително nonewprivs (NO_NEW_PRIVS), който не позволява на нови процеси да получат допълнителни привилегии.
• Добавена е възможност за използване на ваши собствени AppArmor профили (опцията „--apparmor“ се предлага за връзка).
• Системата за проследяване на мрежовия трафик nettrace, която показва информация за IP и интензитета на трафика от всеки адрес, реализира ICMP поддръжка и предлага опциите "--dnstrace", "--icmptrace" и "--snitrace".
• Командите --cgroup и --shell са премахнати (по подразбиране е --shell=none). Изграждането на Firetunnel е спряно по подразбиране. Деактивирани настройки за chroot, private-lib и tracelog в /etc/firejail/firejail.config. поддръжката на grsecurity е прекратена.

Източник: opennet.ru