rhyddhau prosiect , lle mae system yn cael ei datblygu ar gyfer gweithredu cymwysiadau graffigol, consol a gweinydd ar wahân. Mae defnyddio Firejail yn eich galluogi i leihau'r risg o gyfaddawdu'r brif system wrth redeg rhaglenni annibynadwy neu a allai fod yn agored i niwed. Mae'r rhaglen wedi'i hysgrifennu yn iaith C, trwyddedig o dan GPLv2 a gall redeg ar unrhyw ddosbarthiad Linux gyda chnewyllyn sy'n hŷn na 3.0. Pecynnau parod gyda Firejail mewn fformatau deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Ar gyfer ynysu yn Firejail gofodau enwau, AppArmor, a hidlo galwadau system (seccomp-bpf) yn Linux. Ar ôl ei lansio, mae'r rhaglen a'i holl brosesau plant yn defnyddio golygfeydd ar wahân o adnoddau cnewyllyn, megis y pentwr rhwydwaith, tabl prosesau, a phwyntiau gosod. Gellir cyfuno cymwysiadau sy'n ddibynnol ar ei gilydd yn un blwch tywod cyffredin. Os dymunir, gellir defnyddio Firejail hefyd i redeg cynwysyddion Docker, LXC ac OpenVZ.
Yn wahanol i offer inswleiddio cynhwysydd, mae firejail yn hynod yn y ffurfweddiad ac nid oes angen paratoi delwedd system - mae cyfansoddiad y cynhwysydd yn cael ei ffurfio ar y hedfan yn seiliedig ar gynnwys y system ffeiliau gyfredol ac yn cael ei ddileu ar ôl cwblhau'r cais. Darperir dulliau hyblyg o osod rheolau mynediad i'r system ffeiliau; gallwch benderfynu pa ffeiliau a chyfeiriaduron y caniateir neu y gwrthodir mynediad iddynt, cysylltu systemau ffeiliau dros dro (tmpfs) ar gyfer data, cyfyngu mynediad i ffeiliau neu gyfeiriaduron i ddarllen yn unig, cyfuno cyfeiriaduron trwy rhwym-mount a overlayfs.
Ar gyfer nifer fawr o gymwysiadau poblogaidd, gan gynnwys Firefox, Chromium, VLC a Transmission, parod ynysu galwadau system. I redeg rhaglen yn y modd ynysu, nodwch enw'r cais fel dadl i'r cyfleustodau firejail, er enghraifft, “firejail firefox” neu “sudo firejail /etc/init.d/nginx start”.
Yn y datganiad newydd:
- Mae bregusrwydd sy'n caniatáu i broses faleisus osgoi mecanwaith cyfyngu galwadau'r system wedi'i osod. Hanfod y bregusrwydd yw bod hidlwyr Seccomp yn cael eu copïo i'r cyfeiriadur /run/firejail/mnt, y gellir ei ysgrifennu o fewn yr amgylchedd ynysig. Gall prosesau maleisus sy'n rhedeg yn y modd ynysu addasu'r ffeiliau hyn, a fydd yn achosi i brosesau newydd sy'n rhedeg yn yr un amgylchedd gael eu gweithredu heb gymhwyso'r hidlydd galwadau system;
- Mae'r hidlydd cof-wadu-ysgrifennu-gweithredu yn sicrhau bod yr alwad “memfd_create” wedi'i rhwystro;
- Ychwanegwyd opsiwn newydd "private-cwd" i newid y cyfeiriadur gweithio ar gyfer carchar;
- Ychwanegwyd opsiwn "--nodbus" i rwystro socedi D-Bus;
- Cefnogaeth wedi'i dychwelyd i CentOS 6;
- cefnogaeth ar gyfer pecynnau mewn fformatau и .
y dylai'r pecynnau hyn ddefnyddio eu hofferyn eu hunain; - Mae proffiliau newydd wedi'u hychwanegu i ynysu 87 o raglenni ychwanegol, gan gynnwys mypaint, nano, xfce4-mixer, gnome-keyring, redshift, rheolwr ffont, gconf-olygydd, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp a cantata.
Ffynhonnell: opennet.ru