izdanje projekta , u okviru kojeg se razvija sistem za izolovano izvršavanje grafičkih, konzolnih i serverskih aplikacija. Korišćenje Firejail-a vam omogućava da smanjite rizik od kompromitovanja glavnog sistema kada pokrećete nepouzdane ili potencijalno ranjive programe. Program je napisan u C jeziku, licenciran pod GPLv2 i može raditi na bilo kojoj Linux distribuciji sa kernelom starijim od 3.0. Gotovi paketi sa Firejail-om u deb (Debian, Ubuntu) i rpm (CentOS, Fedora) formatima.
Za izolaciju u Vatrogasnom zatvoru prostori imena, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) u Linuxu. Nakon pokretanja, program i svi njegovi podređeni procesi koriste odvojene prikaze resursa kernela, kao što su mrežni stog, tabela procesa i tačke montiranja. Aplikacije koje zavise jedna od druge mogu se kombinovati u jedan zajednički sandbox. Po želji, Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ kontejnera.
Za razliku od alata za izolaciju kontejnera, vatrogasni zatvor je izuzetno u konfiguraciji i ne zahteva pripremu slike sistema - kompozicija kontejnera se formira u hodu na osnovu sadržaja trenutnog sistema datoteka i briše se nakon što se aplikacija završi. Obezbeđena su fleksibilna sredstva za postavljanje pravila pristupa sistemu datoteka; možete odrediti kojim datotekama i direktorijumima je dozvoljen ili odbijen pristup, povezati privremene sisteme datoteka (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijumima samo za čitanje, kombinovati direktorijume kroz bind-mount i overlayfs.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, gotove izolacija sistemskog poziva. Da biste pokrenuli program u izolacijskom načinu, jednostavno navedite ime aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
- Popravljena je ranjivost koja omogućava zlonamjernom procesu da zaobiđe mehanizam ograničenja sistemskih poziva. Suština ranjivosti je u tome što se Seccomp filteri kopiraju u /run/firejail/mnt direktorij, u koji se može pisati unutar izolovanog okruženja. Zlonamjerni procesi koji se pokreću u izolacijskom načinu mogu modificirati ove datoteke, što će uzrokovati da se novi procesi koji rade u istom okruženju izvršavaju bez primjene filtera sistemskih poziva;
- Filter memory-deny-write-execute osigurava da je poziv “memfd_create” blokiran;
- Dodata nova opcija "private-cwd" za promjenu radnog direktorija za zatvor;
- Dodata "--nodbus" opcija za blokiranje D-Bus utičnica;
- Vraćena podrška za CentOS 6;
- podrška za pakete u formatima и .
da ovi paketi treba da koriste sopstvene alate; - Dodati su novi profili za izolaciju 87 dodatnih programa, uključujući mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp i cantata.
izvor: opennet.ru