S'ha publicat el llançament del projecte Firejail 0.9.72, que desenvolupa un sistema per a l'execució aïllada d'aplicacions gràfiques, de consola i de servidor, que permet minimitzar el risc de comprometre el sistema principal quan s'executen programes poc fiables o potencialment vulnerables. El programa està escrit en C, distribuït sota la llicència GPLv2 i es pot executar en qualsevol distribució de Linux amb un nucli anterior a 3.0. Els paquets Firejail preparats es preparen en formats deb (Debian, Ubuntu) i rpm (CentOS, Fedora).
Per aïllar-se, Firejail utilitza espais de noms, AppArmor i el filtratge de trucades del sistema (seccomp-bpf) a Linux. Un cop llançat, el programa i tots els seus processos fills utilitzen vistes separades dels recursos del nucli, com ara la pila de xarxa, la taula de processos i els punts de muntatge. Les aplicacions que depenen les unes de les altres es poden combinar en un sandbox comú. Si es desitja, Firejail també es pot utilitzar per executar contenidors Docker, LXC i OpenVZ.
A diferència de les eines d'aïllament de contenidors, firejail és extremadament senzill de configurar i no requereix la preparació d'una imatge del sistema: la composició del contenidor es forma sobre la marxa en funció del contingut del sistema de fitxers actual i s'elimina un cop finalitzada l'aplicació. Es proporcionen mitjans flexibles per establir regles d'accés al sistema de fitxers; podeu determinar quins fitxers i directoris se'ls permet o l'accés denegat, connectar sistemes de fitxers temporals (tmpfs) per a les dades, limitar l'accés als fitxers o directoris a només lectura, combinar directoris mitjançant bind-mount i overlayfs.
Per a un gran nombre d'aplicacions populars, com ara Firefox, Chromium, VLC i Transmission, s'han preparat perfils d'aïllament de trucades del sistema ja fets. Per obtenir els privilegis necessaris per configurar un entorn sandbox, l'executable firejail s'instal·la amb la marca d'arrel SUID (els privilegis es restableixen després de la inicialització). Per executar un programa en mode d'aïllament, només cal que especifiqueu el nom de l'aplicació com a argument per a la utilitat firejail, per exemple, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".
A la nova versió:
- S'ha afegit un filtre seccomp per a les trucades al sistema que bloqueja la creació d'espais de noms (s'ha afegit l'opció "--restrict-namespaces" per habilitar). S'han actualitzat les taules de trucades del sistema i els grups seccomp.
- Mode força-nonewprivs millorat (NO_NEW_PRIVS), que impedeix que els nous processos obtinguin privilegis addicionals.
- S'ha afegit la possibilitat d'utilitzar els vostres propis perfils AppArmor (s'ofereix l'opció "--apparmor" per a la connexió).
- El sistema de seguiment del trànsit de la xarxa nettrace, que mostra informació sobre la IP i la intensitat del trànsit de cada adreça, implementa el suport ICMP i ofereix les opcions "--dnstrace", "--icmptrace" i "--snitrace".
- Les ordres --cgroup i --shell s'han eliminat (el valor per defecte és --shell=none). La construcció de Firetunnel s'atura de manera predeterminada. S'han desactivat la configuració de chroot, private-lib i tracelog a /etc/firejail/firejail.config. El suport de grsecurity s'ha interromput.
Font: opennet.ru