Mae rhyddhau prosiect Firejail 0.9.72 wedi'i gyhoeddi, sy'n datblygu system ar gyfer gweithredu cymwysiadau graffigol, consol a gweinydd yn ynysig, gan ganiatΓ‘u i leihau'r risg o beryglu'r brif system wrth redeg rhaglenni annibynadwy neu a allai fod yn agored i niwed. Mae'r rhaglen wedi'i hysgrifennu yn C, wedi'i dosbarthu o dan y drwydded GPLv2 a gall redeg ar unrhyw ddosbarthiad Linux gyda chnewyllyn sy'n hΕ·n na 3.0. Mae pecynnau Firejail parod yn cael eu paratoi mewn fformatau deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Ar gyfer ynysu, mae Firejail yn defnyddio gofodau enwau, AppArmor, a hidlo galwadau system (seccomp-bpf) ar Linux. Ar Γ΄l ei lansio, mae'r rhaglen a'i holl brosesau plant yn defnyddio golygfeydd ar wahΓ’n o adnoddau cnewyllyn, megis y pentwr rhwydwaith, tabl prosesau, a phwyntiau gosod. Gellir cyfuno cymwysiadau sy'n ddibynnol ar ei gilydd yn un blwch tywod cyffredin. Os dymunir, gellir defnyddio Firejail hefyd i redeg cynwysyddion Docker, LXC ac OpenVZ.
Yn wahanol i offer ynysu cynhwysydd, mae firejail yn hynod o syml i'w ffurfweddu ac nid oes angen paratoi delwedd system - mae cyfansoddiad y cynhwysydd yn cael ei ffurfio ar y hedfan yn seiliedig ar gynnwys y system ffeiliau gyfredol ac yn cael ei ddileu ar Γ΄l cwblhau'r cais. Darperir dulliau hyblyg o osod rheolau mynediad i'r system ffeiliau; gallwch benderfynu pa ffeiliau a chyfeiriaduron y caniateir neu y gwrthodir mynediad iddynt, cysylltu systemau ffeiliau dros dro (tmpfs) ar gyfer data, cyfyngu mynediad i ffeiliau neu gyfeiriaduron i ddarllen yn unig, cyfuno cyfeiriaduron trwy rhwym-mount a overlayfs.
Ar gyfer nifer fawr o gymwysiadau poblogaidd, gan gynnwys Firefox, Chromium, VLC a Transmission, mae proffiliau ynysu galwadau system parod wedi'u paratoi. Er mwyn cael y breintiau angenrheidiol i sefydlu amgylchedd blwch tywod, gosodir gweithredadwy'r carchar tΓ’n gyda baner gwraidd SUID (mae breintiau'n cael eu hailosod ar Γ΄l cychwyn). I redeg rhaglen yn y modd ynysu, nodwch enw'r cais fel dadl i'r cyfleustodau firejail, er enghraifft, βfirejail firefoxβ neu βsudo firejail /etc/init.d/nginx startβ.
Yn y datganiad newydd:
- Ychwanegwyd hidlydd seccomp ar gyfer galwadau system sy'n rhwystro creu gofodau enwau (mae'r opsiwn "--restrict-namespaces" wedi'i ychwanegu i alluogi). Tablau galwadau system wedi'u diweddaru a grwpiau seccomp.
- Gwell modd grym-nonewprivs (NO_NEW_PRIVS), sy'n atal prosesau newydd rhag ennill breintiau ychwanegol.
- Ychwanegwyd y gallu i ddefnyddio'ch proffiliau AppArmor eich hun (mae'r opsiwn "--apparmor" yn cael ei gynnig ar gyfer cysylltiad).
- Mae system olrhain traffig rhwydwaith nettrace, sy'n dangos gwybodaeth am IP a dwyster traffig o bob cyfeiriad, yn gweithredu cefnogaeth ICMP ac yn cynnig yr opsiynau "--dnstrace", "--icmptrace" a "--snitrace".
- Mae'r gorchmynion --cgroup a --shell wedi'u dileu (y rhagosodiad yw --shell=dim). Mae adeiladu twnnel tΓ’n yn cael ei atal yn ddiofyn. Gosodiadau croot, lib preifat a tracelog anabl yn /etc/firejail/firejail.config. mae cefnogaeth grsecurity wedi dod i ben.
Ffynhonnell: opennet.ru