Firejail 0.9.72 hè statu publicatu. Sviluppa un sistema per l'esecuzione isolata di applicazioni grafiche, di cunsola è di servitore, minimizendu u risicu di compromettere u sistema ospitante quandu si eseguenu prugrammi micca affidabili o potenzialmente vulnerabili. U prugramma hè scrittu in C, distribuitu sottu a licenza GPLv2, è funziona nantu à qualsiasi distribuzione. Linux cù un kernel più vechju di 3.0. I pacchetti pronti cù Firejail sò preparati in formati deb (Debian, Ubuntu) è giri/min (CentOS, Fedora).
Firejail usa spazii di nomi, AppArmor, è u filtraggio di chjamate di sistema (seccomp-bpf) per l'isolamentu. LinuxUna volta lanciatu, un prugramma è tutti i so prucessi figlioli utilizanu rapprisentazioni separate di e risorse di u kernel, cum'è a pila di rete, a tavula di prucessi è i punti di muntatura. L'applicazioni interdipendenti ponu esse cumminate in una sola sandbox spartuta. Firejail pò ancu esse adupratu per eseguisce container Docker, LXC è OpenVZ.
A cuntrariu di l'arnesi di isolamentu di u containeru, u firejail hè estremamente simplice di cunfigurà è ùn hà micca bisognu di a preparazione di una maghjina di u sistema - a cumpusizioni di u containeru hè furmatu nantu à a mosca basatu annantu à u cuntenutu di u sistema di fugliale attuale è hè sguassatu dopu chì l'applicazione hè cumpletata. Mezzi flessibili per stabilisce e regule d'accessu à u sistema di fugliali sò furniti; pudete determinà quali fugliali è cartulari sò permessi o negatu l'accessu, cunnette i sistemi di fugliali tempuranee (tmpfs) per i dati, limità l'accessu à i fugliali o cartulari per leghje solu, cumminendu cartulari attraversu bind-mount è overlayfs.
Per un gran numaru d'applicazioni populari, cumprese Firefox, Chromium, VLC è Transmission, sò stati preparati profili di isolamentu di chjama di sistema pronti. Per ottene i privilegi necessarii per stabilisce un ambiente sandboxed, l'executable firejail hè stallatu cù a bandiera di root SUID (i privilegii sò resettati dopu l'inizializazione). Per eseguisce un prugramma in modu di isolamentu, basta à specificà u nome di l'applicazione cum'è argumentu à l'utilità firejail, per esempiu, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".
In a nova versione:
- Aggiuntu un filtru seccomp per e chjama di u sistema chì blucca a creazione di spazii di nomi (l'opzione "--restrict-namespaces" hè stata aghjunta per attivà). Tavule di chjama di u sistema aghjurnatu è gruppi seccomp.
- Modu forza-nonewprivs mejoratu (NO_NEW_PRIVS), chì impedisce à i novi prucessi di guadagnà privilegi supplementari.
- Aggiunta a capacità di utilizà i vostri propri profili AppArmor (l'opzione "--apparmor" hè offerta per a cunnessione).
- U sistema di tracciamentu di u trafficu di a rete nettrace, chì mostra l'infurmazioni nantu à l'IP è l'intensità di u trafficu da ogni indirizzu, implementa u supportu ICMP è offre l'opzioni "--dnstrace", "--icmptrace" è "--snitrace".
- I cumandamenti --cgroup è --shell sò stati eliminati (u predefinitu hè --shell=none). A custruzione di Firetunnel hè fermata per difettu. Disattivate i paràmetri chroot, private-lib è tracelog in /etc/firejail/firejail.config. L'assistenza di grsecurity hè stata interrotta.
Source: opennet.ru
