Izdanje Firejail Application Isolation System 0.9.60
Videla sam svetlo izdanje projekta Firejail 0.9.60, u okviru kojeg se razvija sistem za izolovano izvršavanje grafičkih, konzolnih i serverskih aplikacija. Korišćenje Firejail-a vam omogućava da smanjite rizik od kompromitovanja glavnog sistema kada pokrećete nepouzdane ili potencijalno ranjive programe. Program je napisan u C jeziku, distribuira licenciran pod GPLv2 i može raditi na bilo kojoj Linux distribuciji sa kernelom starijim od 3.0. Gotovi paketi sa Firejail-om pripremljeno u deb (Debian, Ubuntu) i rpm (CentOS, Fedora) formatima.
Za izolaciju u Vatrogasnom zatvoru se koriste prostori imena, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) u Linuxu. Nakon pokretanja, program i svi njegovi podređeni procesi koriste odvojene prikaze resursa kernela, kao što su mrežni stog, tabela procesa i tačke montiranja. Aplikacije koje zavise jedna od druge mogu se kombinovati u jedan zajednički sandbox. Po želji, Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ kontejnera.
Za razliku od alata za izolaciju kontejnera, vatrogasni zatvor je izuzetno jednostavno u konfiguraciji i ne zahteva pripremu slike sistema - kompozicija kontejnera se formira u hodu na osnovu sadržaja trenutnog sistema datoteka i briše se nakon što se aplikacija završi. Obezbeđena su fleksibilna sredstva za postavljanje pravila pristupa sistemu datoteka; možete odrediti kojim datotekama i direktorijumima je dozvoljen ili odbijen pristup, povezati privremene sisteme datoteka (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijumima samo za čitanje, kombinovati direktorijume kroz bind-mount i overlayfs.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, gotove profile izolacija sistemskog poziva. Da biste pokrenuli program u izolacijskom načinu, jednostavno navedite ime aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
Popravljena je ranjivost koja omogućava zlonamjernom procesu da zaobiđe mehanizam ograničenja sistemskih poziva. Suština ranjivosti je u tome što se Seccomp filteri kopiraju u /run/firejail/mnt direktorij, u koji se može pisati unutar izolovanog okruženja. Zlonamjerni procesi koji se pokreću u izolacijskom načinu mogu modificirati ove datoteke, što će uzrokovati da se novi procesi koji rade u istom okruženju izvršavaju bez primjene filtera sistemskih poziva;
Filter memory-deny-write-execute osigurava da je poziv “memfd_create” blokiran;
Dodata nova opcija "private-cwd" za promjenu radnog direktorija za zatvor;
Dodata "--nodbus" opcija za blokiranje D-Bus utičnica;