Liberazione di u Sistema di Isolamentu di l'Applicazione Firejail 0.9.62
Dopu à sei mesi di sviluppu dispunibule liberazione di u prugettu Firejail 0.9.62, in u quale hè sviluppatu un sistema per l'esekzione isolata di applicazioni grafiche, cunsola è servitore. Utilizà Firejail vi permette di minimizzà u risicu di cumprumette u sistema principale quandu eseguite prugrammi infidu o potenzialmente vulnerabili. U prugramma hè scrittu in lingua C, distribuitu da licenziatu sottu GPLv2 è pò eseguisce nantu à qualsiasi distribuzione Linux cù un kernel più vechju di 3.0. Pacchetti pronti cù Firejail preparatu in formati deb (Debian, Ubuntu) è rpm (CentOS, Fedora).
Per l'isulazione in Firejail sò usati namespaces, AppArmor, è u filtru di chjama di u sistema (seccomp-bpf) in Linux. Una volta lanciatu, u prugramma è tutti i so prucessi di u zitellu utilizanu veduti separati di e risorse di u kernel, cum'è a pila di rete, a tavola di prucessu è i punti di muntagna. L'applicazioni chì dipendenu l'una di l'altru ponu esse cumminate in un sandbox cumuni. Se vulete, Firejail pò ancu esse usatu per eseguisce cuntenituri Docker, LXC è OpenVZ.
A cuntrariu di l'arnesi d'insulazione di u containeru, u firejail hè estremamente simplici in a cunfigurazione è ùn hà micca bisognu di a preparazione di una maghjina di u sistema - a cumpusizioni di u containeru hè furmatu nantu à a mosca basatu nantu à u cuntenutu di u sistema di schedariu attuale è hè sguassatu dopu chì l'applicazione hè cumpletata. Mezzi flessibili per stabilisce e regule d'accessu à u sistema di fugliali sò furniti; pudete determinà quali fugliali è cartulari sò permessi o negatu l'accessu, cunnette i sistemi di fugliali tempuranee (tmpfs) per i dati, limità l'accessu à i fugliali o cartulari per leghje solu, cumminendu cartulari attraversu bind-mount è overlayfs.
Per un gran numaru d'applicazioni populari, cumpresi Firefox, Chromium, VLC è Transmission, ready-made prufili isolamentu di a chjama di u sistema. Per ottene i privilegi necessarii per stabilisce un ambiente sandboxed, l'executable firejail hè stallatu cù a bandiera di root SUID (i privilegii sò resettati dopu l'inizializazione). Per eseguisce un prugramma in modu di isolamentu, basta à specificà u nome di l'applicazione cum'è argumentu à l'utilità firejail, per esempiu, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".
In a nova versione:
In u schedariu di cunfigurazione /etc/firejail/firejail.config aghjustatu file-copy-limit setting, chì permette di limità a dimensione di i fugliali chì saranu copiati in memoria quandu utilizate l'opzioni "--private-*" (per difettu u limitu hè stabilitu à 500MB).
I mudelli per creà novi profili di restrizzioni di l'applicazioni sò stati aghjuntu à u cartulare /usr/share/doc/firejail.
I profili permettenu l'usu di debuggers.
Filtrazione mejorata di e chjama di u sistema utilizendu u mecanismu seccomp.
A rilevazione automatica di i bandieri di compilatori hè furnita.
A chjama chroot ùn hè più fatta nantu à a strada, ma utilizendu punti di muntagna basatu nantu à u descriptore di u schedariu.
U cartulare /usr/share hè in lista bianca da parechji profili.
New helper scripts gdb-firejail.sh è sort.py sò stati aghjuntu à a sezione conrib.
Prutezzione rinfurzata in a fase di esecuzione di codice privilegiatu (SUID).
Per i profili, novi attributi cundiziunali HAS_X11 è HAS_NET sò stati implementati per verificà a presenza di un servitore X è accessu à a rete.
Profili aghjunti per u lanciu di l'applicazioni isolate (u numeru tutale di profili aumentatu à 884):