ProHoster > Blog > nutizie internet > Liberazione di u Sistema di Isolamentu di l'Applicazione Firejail 0.9.62

Liberazione di u Sistema di Isolamentu di l'Applicazione Firejail 0.9.62

Dopu à sei mesi di sviluppu dispunibule liberazione di u prugettu Firejail 0.9.62, in u quale hè sviluppatu un sistema per l'esekzione isolata di applicazioni grafiche, cunsola è servitore. Utilizà Firejail vi permette di minimizzà u risicu di cumprumette u sistema principale quandu eseguite prugrammi infidu o potenzialmente vulnerabili. U prugramma hè scrittu in lingua C, distribuitu da licenziatu sottu GPLv2 è pò eseguisce nantu à qualsiasi distribuzione Linux cù un kernel più vechju di 3.0. Pacchetti pronti cù Firejail preparatu in formati deb (Debian, Ubuntu) è rpm (CentOS, Fedora).

Per l'isulazione in Firejail sò usati namespaces, AppArmor, è u filtru di chjama di u sistema (seccomp-bpf) in Linux. Una volta lanciatu, u prugramma è tutti i so prucessi di u zitellu utilizanu veduti separati di e risorse di u kernel, cum'è a pila di rete, a tavola di prucessu è i punti di muntagna. L'applicazioni chì dipendenu l'una di l'altru ponu esse cumminate in un sandbox cumuni. Se vulete, Firejail pò ancu esse usatu per eseguisce cuntenituri Docker, LXC è OpenVZ.

A cuntrariu di l'arnesi d'insulazione di u containeru, u firejail hè estremamente simplici in a cunfigurazione è ùn hà micca bisognu di a preparazione di una maghjina di u sistema - a cumpusizioni di u containeru hè furmatu nantu à a mosca basatu nantu à u cuntenutu di u sistema di schedariu attuale è hè sguassatu dopu chì l'applicazione hè cumpletata. Mezzi flessibili per stabilisce e regule d'accessu à u sistema di fugliali sò furniti; pudete determinà quali fugliali è cartulari sò permessi o negatu l'accessu, cunnette i sistemi di fugliali tempuranee (tmpfs) per i dati, limità l'accessu à i fugliali o cartulari per leghje solu, cumminendu cartulari attraversu bind-mount è overlayfs.

Per un gran numaru d'applicazioni populari, cumpresi Firefox, Chromium, VLC è Transmission, ready-made prufili isolamentu di a chjama di u sistema. Per ottene i privilegi necessarii per stabilisce un ambiente sandboxed, l'executable firejail hè stallatu cù a bandiera di root SUID (i privilegii sò resettati dopu l'inizializazione). Per eseguisce un prugramma in modu di isolamentu, basta à specificà u nome di l'applicazione cum'è argumentu à l'utilità firejail, per esempiu, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".

In a nova versione:

  • In u schedariu di cunfigurazione /etc/firejail/firejail.config aghjustatu file-copy-limit setting, chì permette di limità a dimensione di i fugliali chì saranu copiati in memoria quandu utilizate l'opzioni "--private-*" (per difettu u limitu hè stabilitu à 500MB).
  • I mudelli per creà novi profili di restrizzioni di l'applicazioni sò stati aghjuntu à u cartulare /usr/share/doc/firejail.
  • I profili permettenu l'usu di debuggers.
  • Filtrazione mejorata di e chjama di u sistema utilizendu u mecanismu seccomp.
  • A rilevazione automatica di i bandieri di compilatori hè furnita.
  • A chjama chroot ùn hè più fatta nantu à a strada, ma utilizendu punti di muntagna basatu nantu à u descriptore di u schedariu.
  • U cartulare /usr/share hè in lista bianca da parechji profili.
  • New helper scripts gdb-firejail.sh è sort.py sò stati aghjuntu à a sezione conrib.
  • Prutezzione rinfurzata in a fase di esecuzione di codice privilegiatu (SUID).
  • Per i profili, novi attributi cundiziunali HAS_X11 è HAS_NET sò stati implementati per verificà a presenza di un servitore X è accessu à a rete.
  • Profili aghjunti per u lanciu di l'applicazioni isolate (u numeru tutale di profili aumentatu à 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync
    • signal-cli
    • tcpdump
    • shark,
    • qgis
    • OpenArena,
    • godot,
    • formula klatex,
    • klatexformula_cmdl,
    • ligami
    • xlinks,
    • pandoc
    • teams-per-linux,
    • gnome-registratore di sonu,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • rhythmbox-client,
    • jerry
    • zelu,
    • mpg123,
    • cunfruntà,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • fora 123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulse,
    • mpg123-strip,
    • pavucontrol-qt,
    • caratteri gnomi,
    • gnome-caratteru-mappa,
    • Uccelli balena
    • tb-starter-wrapper,
    • bzcat,
    • kiwix-desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • senza zstd,
    • zstdmt,
    • unzstd,
    • ar,
    • gnome-latex,
    • pngquantu
    • calgebra
    • kalgebramobile,
    • amuled
    • truvà,
    • profanità
    • registratore audio,
    • cameramonitor
    • ddgtk
    • drawio,
    • unf,
    • gmpc,
    • posta elettronica,
    • gist
    • gist-paste.

Source: opennet.ru

Add a comment