Po šesti měsících vývoje vydání projektu , v rámci kterého je vyvíjen systém pro izolované spouštění grafických, konzolových a serverových aplikací. Použití Firejail vám umožňuje minimalizovat riziko ohrožení hlavního systému při spouštění nedůvěryhodných nebo potenciálně zranitelných programů. Program je napsán v jazyce C, licencováno pod GPLv2 a může běžet na jakékoli distribuci Linuxu s jádrem starším než 3.0. Připravené balíčky s Firejailem ve formátech deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pro izolaci v Firejail jmenné prostory, AppArmor a filtrování systémových volání (seccomp-bpf) v Linuxu. Po spuštění program a všechny jeho podřízené procesy používají samostatné pohledy na prostředky jádra, jako je síťový zásobník, tabulka procesů a přípojné body. Aplikace, které jsou na sobě závislé, lze kombinovat do jednoho společného sandboxu. V případě potřeby lze Firejail použít také ke spuštění kontejnerů Docker, LXC a OpenVZ.
Na rozdíl od nástrojů pro izolaci kontejnerů je firejail extrémní v konfiguraci a nevyžaduje přípravu obrazu systému - složení kontejneru se tvoří za běhu na základě obsahu aktuálního souborového systému a po dokončení aplikace se smaže. K dispozici jsou flexibilní prostředky pro nastavení pravidel přístupu k systému souborů; můžete určit, ke kterým souborům a adresářům je povolen nebo odepřen přístup, připojit dočasné souborové systémy (tmpfs) pro data, omezit přístup k souborům nebo adresářům pouze pro čtení, kombinovat adresáře pomocí bind-mount a overlayfs.
Pro velké množství populárních aplikací, včetně Firefox, Chromium, VLC a Transmission, připravené izolace systémových volání. Chcete-li získat oprávnění nezbytná k nastavení prostředí v izolovaném prostoru, je spustitelný soubor firejail nainstalován s kořenovým příznakem SUID (oprávnění jsou resetována po inicializaci). Chcete-li spustit program v režimu izolace, jednoduše zadejte název aplikace jako argument obslužnému programu firejail, například „firejail firefox“ nebo „sudo firejail /etc/init.d/nginx start“.
V novém vydání:
- V konfiguračním souboru /etc/firejail/firejail.config nastavení limitu kopírování souborů, které umožňuje omezit velikost souborů, které budou zkopírovány do paměti při použití možností „--private-*“ (ve výchozím nastavení je limit nastaven na 500 MB).
- Do adresáře /usr/share/doc/firejail byly přidány šablony pro vytváření nových profilů omezení aplikací.
- Profily umožňují použití debuggerů.
- Vylepšené filtrování systémových volání pomocí mechanismu seccomp.
- K dispozici je automatická detekce příznaků kompilátoru.
- Volání chroot se již neprovádí na základě cesty, ale pomocí přípojných bodů na základě deskriptoru souboru.
- Adresář /usr/share je na seznamu povolených podle různých profilů.
- Do sekce conrib byly přidány nové pomocné skripty gdb-firejail.sh a sort.py.
- Posílená ochrana ve fázi provádění privilegovaného kódu (SUID).
- Pro profily byly implementovány nové podmíněné atributy HAS_X11 a HAS_NET pro kontrolu přítomnosti X serveru a síťového přístupu.
- Přidány profily pro izolované spouštění aplikací (celkový počet profilů se zvýšil na 884):
- i2p,
- tor-browser (AUR),
- Zulip,
- rsync
- signál-cli
- tcpdump
- tshark,
- qgis
- OpenArena,
- Godot,
- klatexformule,
- klatexformula_cmdl,
- Odkazy,
- xlinks,
- pandoc
- týmy pro linux,
- gnome-sound-recorder,
- newsbeuter,
- keepassxc-cli,
- keepassxc-proxy,
- klient rytmusbox,
- jerry
- horlivost,
- mpg123,
- hrát,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- out123,
- mpg123-jack,
- mpg123-nas,
- mpg123-openal,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-puls,
- mpg123-strip,
- pavucontrol-qt,
- postavy trpaslíků,
- mapa-znak-gnoma,
- Velrybí pták
- tb-starter-wrapper,
- bzcat,
- kiwix-stolní počítač,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- vzduch,
- gnome-latex,
- pngquant
- calgebra
- kalgebramobil,
- amuled
- najít,
- rouhavost
- záznamník zvuku,
- kameramonitor
- ddgtk
- drawio,
- unf,
- gmpc,
- elektronická pošta,
- podstata,
- gist-paste.
Zdroj: opennet.ru