vydání projektu , v rámci kterého je vyvíjen systém pro izolované spouštění grafických, konzolových a serverových aplikací. Použití Firejail vám umožňuje minimalizovat riziko ohrožení hlavního systému při spouštění nedůvěryhodných nebo potenciálně zranitelných programů. Program je napsán v jazyce C, licencováno pod GPLv2 a může běžet na jakékoli distribuci Linuxu s jádrem starším než 3.0. Připravené balíčky s Firejailem ve formátech deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pro izolaci v Firejail jmenné prostory, AppArmor a filtrování systémových volání (seccomp-bpf) v Linuxu. Po spuštění program a všechny jeho podřízené procesy používají samostatné pohledy na prostředky jádra, jako je síťový zásobník, tabulka procesů a přípojné body. Aplikace, které jsou na sobě závislé, lze kombinovat do jednoho společného sandboxu. V případě potřeby lze Firejail použít také ke spuštění kontejnerů Docker, LXC a OpenVZ.
Na rozdíl od nástrojů pro izolaci kontejnerů je firejail extrémní v konfiguraci a nevyžaduje přípravu obrazu systému - složení kontejneru se tvoří za běhu na základě obsahu aktuálního souborového systému a po dokončení aplikace se smaže. K dispozici jsou flexibilní prostředky pro nastavení pravidel přístupu k systému souborů; můžete určit, ke kterým souborům a adresářům je povolen nebo odepřen přístup, připojit dočasné systémy souborů (tmpfs) pro data, omezit přístup k souborům nebo adresářům pouze pro čtení, kombinovat adresáře pomocí bind-mount a overlayfs.
Pro velké množství populárních aplikací, včetně Firefox, Chromium, VLC a Transmission, připravené izolace systémových volání. Chcete-li spustit program v režimu izolace, jednoduše zadejte název aplikace jako argument obslužnému programu firejail, například „firejail firefox“ nebo „sudo firejail /etc/init.d/nginx start“.
V novém vydání:
- Byla opravena chyba zabezpečení, která umožňuje škodlivému procesu obejít mechanismus omezení systémových volání. Podstatou chyby zabezpečení je, že filtry Seccomp jsou zkopírovány do adresáře /run/firejail/mnt, do kterého lze zapisovat v izolovaném prostředí. Škodlivé procesy běžící v režimu izolace mohou tyto soubory upravit, což způsobí, že nové procesy běžící ve stejném prostředí budou spuštěny bez použití filtru systémových volání;
- Filtr memory-deny-write-execute zajišťuje, že volání „memfd_create“ je blokováno;
- Přidána nová volba "private-cwd" pro změnu pracovního adresáře pro vězení;
- Přidána možnost "--nodbus" pro blokování zásuvek D-Bus;
- Vrácená podpora pro CentOS 6;
- podpora balíčků ve formátech и .
že tyto balíčky by měly používat své vlastní nástroje; - Byly přidány nové profily, které izolují 87 dalších programů, včetně mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentace, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp a cantata.
Zdroj: opennet.ru