A liberazione di u prughjettu Firejail 0.9.72 hè stata publicata, chì sviluppa un sistema per l'esekzione isolata di l'applicazioni gràfiche, di cunsola è di u servitore, chì permette di minimizzà u risicu di cumprumissu u sistema principalu quandu eseguisce prugrammi infidabili o potenzialmente vulnerabili. U prugramma hè scrittu in C, distribuitu sottu a licenza GPLv2 è pò eseguisce nantu à qualsiasi distribuzione Linux cù un kernel più vechju di 3.0. I pacchetti Firejail pronti sò preparati in formati deb (Debian, Ubuntu) è rpm (CentOS, Fedora).
Per l'isolamentu, Firejail usa namespaces, AppArmor, è u filtru di chjama di u sistema (seccomp-bpf) in Linux. Una volta lanciatu, u prugramma è tutti i so prucessi di u zitellu utilizanu veduti separati di e risorse di u kernel, cum'è a pila di rete, a tavola di prucessu è i punti di muntagna. L'applicazioni chì dipendenu l'una di l'altru ponu esse cumminate in un sandbox cumuni. Se vulete, Firejail pò ancu esse usatu per eseguisce cuntenituri Docker, LXC è OpenVZ.
A cuntrariu di l'arnesi di isolamentu di u containeru, u firejail hè estremamente simplice di cunfigurà è ùn hà micca bisognu di a preparazione di una maghjina di u sistema - a cumpusizioni di u containeru hè furmatu nantu à a mosca basatu annantu à u cuntenutu di u sistema di fugliale attuale è hè sguassatu dopu chì l'applicazione hè cumpletata. Mezzi flessibili per stabilisce e regule d'accessu à u sistema di fugliali sò furniti; pudete determinà quali fugliali è cartulari sò permessi o negatu l'accessu, cunnette i sistemi di fugliali tempuranee (tmpfs) per i dati, limità l'accessu à i fugliali o cartulari per leghje solu, cumminendu cartulari attraversu bind-mount è overlayfs.
Per un gran numaru d'applicazioni populari, cumprese Firefox, Chromium, VLC è Transmission, sò stati preparati profili di isolamentu di chjama di sistema pronti. Per ottene i privilegi necessarii per stabilisce un ambiente sandboxed, l'executable firejail hè stallatu cù a bandiera di root SUID (i privilegii sò resettati dopu l'inizializazione). Per eseguisce un prugramma in modu di isolamentu, basta à specificà u nome di l'applicazione cum'è argumentu à l'utilità firejail, per esempiu, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".
In a nova versione:
- Aggiuntu un filtru seccomp per e chjama di u sistema chì blucca a creazione di spazii di nomi (l'opzione "--restrict-namespaces" hè stata aghjunta per attivà). Tavule di chjama di u sistema aghjurnatu è gruppi seccomp.
- Modu forza-nonewprivs mejoratu (NO_NEW_PRIVS), chì impedisce à i novi prucessi di guadagnà privilegi supplementari.
- Aggiunta a capacità di utilizà i vostri propri profili AppArmor (l'opzione "--apparmor" hè offerta per a cunnessione).
- U sistema di tracciamentu di u trafficu di a rete nettrace, chì mostra l'infurmazioni nantu à l'IP è l'intensità di u trafficu da ogni indirizzu, implementa u supportu ICMP è offre l'opzioni "--dnstrace", "--icmptrace" è "--snitrace".
- I cumandamenti --cgroup è --shell sò stati eliminati (u predefinitu hè --shell=none). A custruzione di Firetunnel hè fermata per difettu. Disattivate i paràmetri chroot, private-lib è tracelog in /etc/firejail/firejail.config. L'assistenza di grsecurity hè stata interrotta.
Source: opennet.ru