Nakon šest mjeseci razvoja izdanje projekta , u okviru kojeg se razvija sistem za izolovano izvršavanje grafičkih, konzolnih i serverskih aplikacija. Korišćenje Firejail-a vam omogućava da smanjite rizik od kompromitovanja glavnog sistema kada pokrećete nepouzdane ili potencijalno ranjive programe. Program je napisan u C jeziku, licencirano pod GPLv2 i može se pokretati na bilo kojoj distribuciji Linux sa kernelom starijim od verzije 3.0. Gotovi paketi sa Firejailom u deb formatima (Debian, Ubuntu) i okretaja u minuti (CentOS, Fedora).
Za izolaciju u Vatrogasnom zatvoru imenski prostori, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) u LinuxNakon pokretanja, program i svi njegovi podprocesi koriste odvojene reprezentacije resursa kernela, kao što su mrežni stek, tabela procesa i tačke montiranja. Međuzavisne aplikacije mogu se kombinovati u jedan zajednički sandbox. Firejail se takođe može koristiti za pokretanje Docker, LXC i OpenVZ kontejnera.
Za razliku od alata za izolaciju kontejnera, vatrogasni zatvor je izuzetno u konfiguraciji i ne zahteva pripremu slike sistema - kompozicija kontejnera se formira u hodu na osnovu sadržaja trenutnog sistema datoteka i briše se nakon što se aplikacija završi. Obezbeđena su fleksibilna sredstva za postavljanje pravila pristupa sistemu datoteka, možete odrediti kojim datotekama i direktorijumima je dozvoljen ili odbijen pristup, povezati privremene sisteme datoteka (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijumima samo za čitanje, kombinovati direktorijume preko; bind-mount i overlayfs.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, gotove izolacija sistemskog poziva. Da bi se dobile privilegije neophodne za postavljanje okruženja u zaštićenom okruženju, izvršni fajl firejail se instalira sa SUID root zastavicom (privilegije se resetuju nakon inicijalizacije). Da biste pokrenuli program u izolacijskom modu, jednostavno navedite ime aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
- U konfiguracijskoj datoteci /etc/firejail/firejail.config file-copy-limit postavka, koja vam omogućava da ograničite veličinu datoteka koje će biti kopirane u memoriju kada koristite opcije “--private-*” (podrazumevano ograničenje je postavljeno na 500MB).
- Predlošci za kreiranje novih profila ograničenja aplikacija dodani su u /usr/share/doc/firejail direktorij.
- Profili dozvoljavaju upotrebu debuggera.
- Poboljšano filtriranje sistemskih poziva pomoću mehanizma seccomp.
- Omogućeno je automatsko otkrivanje zastavica kompajlera.
- chroot poziv se više ne vrši na osnovu putanje, već pomoću tačaka montiranja na osnovu deskriptora datoteke.
- /usr/share direktorij je na bijeloj listi različitih profila.
- Nove pomoćne skripte gdb-firejail.sh i sort.py su dodate u conrib sekciju.
- Pojačana zaštita u fazi izvršavanja privilegovanog koda (SUID).
- Za profile su implementirani novi uvjetni atributi HAS_X11 i HAS_NET za provjeru prisutnosti X servera i pristupa mreži.
- Dodati profili za izolovano pokretanje aplikacija (ukupan broj profila povećan na 884):
- i2p,
- tor-browser (AUR),
- Zulip,
- rsync
- signal-cli
- tcpdump
- ajkula,
- qgis
- OpenArena,
- godot,
- klatexformula,
- klatexformula_cmdl,
- linkovi
- xlinkovi,
- pandoc
- timovi-za-linux,
- gnome-snimač zvuka,
- newsbeuter,
- keepassxc-cli,
- keepassxc-proxy,
- rhythmbox-client,
- jerry
- revnost,
- mpg123,
- conplay,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- out123,
- mpg123-jack,
- mpg123-nas,
- mpg123-openal,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-puls,
- mpg123-traka,
- pavucontrol-qt,
- patuljci,
- gnome-character-map,
- Whalebird
- tb-starter-wrapper,
- bzcat,
- kiwix-desktop,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar
- gnome-latex,
- pngquant
- calgebra
- kalgebramobil,
- amuled
- naći,
- vulgarnosti,
- audio-rekorder,
- kameramonitor
- ddgtk
- drawio,
- unf,
- gmpc,
- elektronska pošta,
- suština
- gist-paste.
izvor: opennet.ru
