pagpagawas sa proyekto , diin ang usa ka sistema gihimo alang sa nahimulag nga pagpatuman sa mga graphical, console ug mga aplikasyon sa server. Ang paggamit sa Firejail nagtugot kanimo nga maminusan ang peligro nga makompromiso ang panguna nga sistema kung nagpadagan nga dili kasaligan o mahimo’g mahuyang nga mga programa. Ang programa gisulat sa C nga pinulongan, lisensyado ubos sa GPLv2 ug mahimong modagan sa bisan unsang distribusyon sa Linux nga adunay kernel nga mas tigulang kay sa 3.0. Andam nga mga pakete nga adunay Firejail sa deb (Debian, Ubuntu) ug rpm (CentOS, Fedora) nga mga format.
Para sa isolation sa Firejail namespaces, AppArmor, ug system call filtering (seccomp-bpf) sa Linux. Sa dihang gilansad na, ang programa ug ang tanang proseso sa bata niini naggamit ug bulag nga mga panglantaw sa kernel resources, sama sa network stack, process table, ug mount point. Ang mga aplikasyon nga nagsalig sa usag usa mahimong mahiusa sa usa ka sagad nga sandbox. Kung gusto, ang Firejail mahimo usab nga gamiton sa pagpadagan sa mga sudlanan sa Docker, LXC ug OpenVZ.
Dili sama sa mga gamit sa insulasyon sa sudlanan, ang firejail hilabihan sa pag-configure ug wala magkinahanglan sa pag-andam sa usa ka imahe sa sistema - ang komposisyon sa sulud naporma sa langaw base sa sulud sa karon nga sistema sa file ug gitangtang pagkahuman nahuman ang aplikasyon. Gihatag ang flexible nga paagi sa pagtakda sa mga lagda sa pag-access sa file system; mahimo nimong mahibal-an kung unsang mga file ug direktoryo ang gitugotan o gibalibaran nga pag-access, pagkonektar sa mga temporaryo nga sistema sa file (tmpfs) alang sa datos, limitahan ang pag-access sa mga file o direktoryo nga mabasa-lamang, paghiusa ang mga direktoryo pinaagi sa bind-mount ug mga overlay.
Alang sa daghang mga sikat nga aplikasyon, lakip ang Firefox, Chromium, VLC ug Transmission, andam na pagbulag sa sistema sa tawag. Aron makadagan ang usa ka programa sa isolation mode, ipiho lang ang ngalan sa aplikasyon isip argumento sa firejail utility, pananglitan, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".
Sa bag-ong pagpagawas:
- Usa ka kahuyang nga nagtugot sa usa ka malisyosong proseso sa pag-bypass sa sistema sa pagdili sa mekanismo sa tawag naayo na. Ang esensya sa pagkahuyang mao nga ang mga filter sa Seccomp gikopya sa direktoryo nga /run/firejail/mnt, nga masulat sa sulod sa nahilit nga palibot. Ang malisyosong mga proseso nga nagdagan sa isolation mode makapausab niini nga mga file, nga magpahinabog bag-ong mga proseso nga nagdagan sa samang palibot nga ipatuman nga walay paggamit sa system call filter;
- Ang memory-deny-write-execute filter nagsiguro nga ang "memfd_create" nga tawag gibabagan;
- Gidugang ang bag-ong kapilian nga "private-cwd" aron mabag-o ang direktoryo sa pagtrabaho alang sa bilanggoan;
- Gidugang ang "--nodbus" nga kapilian aron babagan ang mga socket sa D-Bus;
- Gibalik nga suporta alang sa CentOS 6;
- suporta alang sa mga pakete sa mga format и .
nga kini nga mga pakete kinahanglan mogamit sa ilang kaugalingon nga tooling; - Ang mga bag-ong profile gidugang aron ihimulag ang 87 ka dugang nga mga programa, lakip ang mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ug cantata.
Source: opennet.ru