Vydání Firejail Application Isolation System 0.9.60
viděl světlo vydání projektu Firejail 0.9.60, v rámci kterého je vyvíjen systém pro izolované spouštění grafických, konzolových a serverových aplikací. Použití Firejail vám umožňuje minimalizovat riziko ohrožení hlavního systému při spouštění nedůvěryhodných nebo potenciálně zranitelných programů. Program je napsán v jazyce C, distribuovány licencováno pod GPLv2 a může běžet na jakékoli distribuci Linuxu s jádrem starším než 3.0. Připravené balíčky s Firejailem připravený ve formátech deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pro izolaci v Firejail jsou používány jmenné prostory, AppArmor a filtrování systémových volání (seccomp-bpf) v Linuxu. Po spuštění program a všechny jeho podřízené procesy používají samostatné pohledy na prostředky jádra, jako je síťový zásobník, tabulka procesů a přípojné body. Aplikace, které jsou na sobě závislé, lze kombinovat do jednoho společného sandboxu. V případě potřeby lze Firejail použít také ke spuštění kontejnerů Docker, LXC a OpenVZ.
Na rozdíl od nástrojů pro izolaci kontejnerů je firejail extrémní jednoduché v konfiguraci a nevyžaduje přípravu obrazu systému - složení kontejneru se tvoří za běhu na základě obsahu aktuálního souborového systému a po dokončení aplikace se smaže. K dispozici jsou flexibilní prostředky pro nastavení pravidel přístupu k systému souborů; můžete určit, ke kterým souborům a adresářům je povolen nebo odepřen přístup, připojit dočasné systémy souborů (tmpfs) pro data, omezit přístup k souborům nebo adresářům pouze pro čtení, kombinovat adresáře pomocí bind-mount a overlayfs.
Pro velké množství populárních aplikací, včetně Firefox, Chromium, VLC a Transmission, připravené Profily izolace systémových volání. Chcete-li spustit program v režimu izolace, jednoduše zadejte název aplikace jako argument obslužnému programu firejail, například „firejail firefox“ nebo „sudo firejail /etc/init.d/nginx start“.
V novém vydání:
Byla opravena chyba zabezpečení, která umožňuje škodlivému procesu obejít mechanismus omezení systémových volání. Podstatou chyby zabezpečení je, že filtry Seccomp jsou zkopírovány do adresáře /run/firejail/mnt, do kterého lze zapisovat v izolovaném prostředí. Škodlivé procesy běžící v režimu izolace mohou tyto soubory upravit, což způsobí, že nové procesy běžící ve stejném prostředí budou spuštěny bez použití filtru systémových volání;
Filtr memory-deny-write-execute zajišťuje, že volání „memfd_create“ je blokováno;
Přidána nová volba "private-cwd" pro změnu pracovního adresáře pro vězení;
Přidána možnost "--nodbus" pro blokování zásuvek D-Bus;