Vydání Firejail Application Isolation System 0.9.62
Po šesti měsících vývoje k dispozici vydání projektu Firejail 0.9.62, v rámci kterého je vyvíjen systém pro izolované spouštění grafických, konzolových a serverových aplikací. Použití Firejail vám umožňuje minimalizovat riziko ohrožení hlavního systému při spouštění nedůvěryhodných nebo potenciálně zranitelných programů. Program je napsán v jazyce C, distribuovány licencováno pod GPLv2 a může běžet na jakékoli distribuci Linuxu s jádrem starším než 3.0. Připravené balíčky s Firejailem připravený ve formátech deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pro izolaci v Firejail jsou používány jmenné prostory, AppArmor a filtrování systémových volání (seccomp-bpf) v Linuxu. Po spuštění program a všechny jeho podřízené procesy používají samostatné pohledy na prostředky jádra, jako je síťový zásobník, tabulka procesů a přípojné body. Aplikace, které jsou na sobě závislé, lze kombinovat do jednoho společného sandboxu. V případě potřeby lze Firejail použít také ke spuštění kontejnerů Docker, LXC a OpenVZ.
Na rozdíl od nástrojů pro izolaci kontejnerů je firejail extrémní jednoduché v konfiguraci a nevyžaduje přípravu obrazu systému - složení kontejneru se tvoří za běhu na základě obsahu aktuálního souborového systému a po dokončení aplikace se smaže. K dispozici jsou flexibilní prostředky pro nastavení pravidel přístupu k systému souborů; můžete určit, ke kterým souborům a adresářům je povolen nebo odepřen přístup, připojit dočasné souborové systémy (tmpfs) pro data, omezit přístup k souborům nebo adresářům pouze pro čtení, kombinovat adresáře pomocí bind-mount a overlayfs.
Pro velké množství populárních aplikací, včetně Firefox, Chromium, VLC a Transmission, připravené Profily izolace systémových volání. Chcete-li získat oprávnění nezbytná k nastavení prostředí v izolovaném prostoru, je spustitelný soubor firejail nainstalován s kořenovým příznakem SUID (oprávnění jsou resetována po inicializaci). Chcete-li spustit program v režimu izolace, jednoduše zadejte název aplikace jako argument obslužnému programu firejail, například „firejail firefox“ nebo „sudo firejail /etc/init.d/nginx start“.
V novém vydání:
V konfiguračním souboru /etc/firejail/firejail.config přidal nastavení limitu kopírování souborů, které umožňuje omezit velikost souborů, které budou zkopírovány do paměti při použití možností „--private-*“ (ve výchozím nastavení je limit nastaven na 500 MB).
Do adresáře /usr/share/doc/firejail byly přidány šablony pro vytváření nových profilů omezení aplikací.
Profily umožňují použití debuggerů.
Vylepšené filtrování systémových volání pomocí mechanismu seccomp.
K dispozici je automatická detekce příznaků kompilátoru.
Volání chroot se již neprovádí na základě cesty, ale pomocí přípojných bodů na základě deskriptoru souboru.
Adresář /usr/share je na seznamu povolených podle různých profilů.
Do sekce conrib byly přidány nové pomocné skripty gdb-firejail.sh a sort.py.
Posílená ochrana ve fázi provádění privilegovaného kódu (SUID).
Pro profily byly implementovány nové podmíněné atributy HAS_X11 a HAS_NET pro kontrolu přítomnosti X serveru a síťového přístupu.
Přidány profily pro izolované spouštění aplikací (celkový počet profilů se zvýšil na 884):