ProHoster > blog > newyddion rhyngrwyd > Rhyddhau System Ynysu Cymwysiadau Firejail 0.9.62

Rhyddhau System Ynysu Cymwysiadau Firejail 0.9.62

Ar ôl chwe mis o ddatblygiad ar gael rhyddhau prosiect Carchar tân 0.9.62, lle mae system yn cael ei datblygu ar gyfer gweithredu cymwysiadau graffigol, consol a gweinydd ar wahân. Mae defnyddio Firejail yn eich galluogi i leihau'r risg o gyfaddawdu'r brif system wrth redeg rhaglenni annibynadwy neu a allai fod yn agored i niwed. Mae'r rhaglen wedi'i hysgrifennu yn iaith C, dosbarthu gan wedi'i drwyddedu o dan GPLv2 a gall redeg ar unrhyw ddosbarthiad Linux gyda chnewyllyn hŷn na 3.0. Pecynnau parod gyda Firejail parod mewn fformatau deb (Debian, Ubuntu) ac rpm (CentOS, Fedora).

Ar gyfer ynysu yn Firejail yn cael eu defnyddio gofodau enwau, AppArmor, a hidlo galwadau system (seccomp-bpf) yn LinuxAr ôl ei lansio, mae rhaglen a'i holl brosesau plentyn yn defnyddio cynrychioliadau ar wahân o adnoddau cnewyllyn, fel y pentwr rhwydwaith, y tabl prosesau, a'r pwyntiau mowntio. Gellir cyfuno cymwysiadau rhyngddibynnol i mewn i un blwch tywod a rennir. Gellir defnyddio Firejail hefyd i redeg cynwysyddion Docker, LXC, ac OpenVZ.

Yn wahanol i offer inswleiddio cynhwysydd, mae firejail yn hynod syml yn y ffurfweddiad ac nid oes angen paratoi delwedd system - mae cyfansoddiad y cynhwysydd yn cael ei ffurfio ar y hedfan yn seiliedig ar gynnwys y system ffeiliau gyfredol ac yn cael ei ddileu ar ôl cwblhau'r cais. Darperir dulliau hyblyg o osod rheolau mynediad i'r system ffeiliau; gallwch benderfynu pa ffeiliau a chyfeiriaduron y caniateir neu y gwrthodir mynediad iddynt, cysylltu systemau ffeiliau dros dro (tmpfs) ar gyfer data, cyfyngu mynediad i ffeiliau neu gyfeiriaduron i ddarllen yn unig, cyfuno cyfeiriaduron drwyddynt rhwym-mount a overlayfs.

Ar gyfer nifer fawr o gymwysiadau poblogaidd, gan gynnwys Firefox, Chromium, VLC a Transmission, parod proffiliau ynysu galwadau system. Er mwyn cael y breintiau angenrheidiol i sefydlu amgylchedd blwch tywod, gosodir gweithredadwy'r carchar tân gyda baner gwraidd SUID (mae breintiau'n cael eu hailosod ar ôl cychwyn). I redeg rhaglen yn y modd ynysu, nodwch enw'r cais fel dadl i'r cyfleustodau firejail, er enghraifft, “firejail firefox” neu “sudo firejail /etc/init.d/nginx start”.

Yn y datganiad newydd:

  • Yn y ffeil ffurfweddu /etc/firejail/firejail.config wedi adio gosodiad ffeil-copy-limit, sy'n eich galluogi i gyfyngu ar faint y ffeiliau a fydd yn cael eu copïo i'r cof wrth ddefnyddio'r opsiynau “--private-*” (yn ddiofyn gosodir y terfyn i 500MB).
  • Mae templedi ar gyfer creu proffiliau cyfyngu ar geisiadau newydd wedi'u hychwanegu at y cyfeiriadur /usr/share/doc/firejail.
  • Mae proffiliau'n caniatáu defnyddio dadfygwyr.
  • Gwell hidlo galwadau system gan ddefnyddio'r mecanwaith seccomp.
  • Darperir canfod fflagiau casglwr yn awtomatig.
  • Nid yw'r alwad chroot bellach yn cael ei gwneud yn seiliedig ar y llwybr, ond gan ddefnyddio pwyntiau gosod yn seiliedig ar ddisgrifydd y ffeil.
  • Mae'r cyfeiriadur / usr/share wedi'i restru gan broffiliau amrywiol.
  • Mae sgriptiau cynorthwy-ydd newydd gdb-firejail.sh a sort.py wedi'u hychwanegu at yr adran conrib.
  • Amddiffyniad cryfach yn ystod cam gweithredu'r cod breintiedig (SUID).
  • Ar gyfer proffiliau, mae priodoleddau amodol newydd HAS_X11 a HAS_NET wedi'u gweithredu i wirio presenoldeb gweinydd X a mynediad rhwydwaith.
  • Proffiliau ychwanegol ar gyfer lansio cais unigol (cynyddodd cyfanswm y proffiliau i 884):
    • i2p,
    • tor-porwr (AUR),
    • Zulip,
    • rsync
    • signal-cli
    • tcpdump
    • siarc,
    • qgis
    • Arena Agored,
    • duwt,
    • fformiwla klatex,
    • klatexformula_cmdl,
    • dolenni
    • cysylltiadau,
    • pandoc
    • timau-ar-lein,
    • recordydd gnome-sain,
    • newyddion beuter,
    • keepassxc-cli,
    • keepassxc-procsi,
    • cleient rhythmbox,
    • jerry
    • sêl,
    • mpg123,
    • chwarae,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dympio,
    • allan 123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-agored,
    • mpg123-oss,
    • mpg123 - portread sain,
    • mpg123-pwls,
    • stribed mpg123,
    • pavucontrol-qt,
    • cymeriadau gnome,
    • map gnome-cymeriad,
    • Aderyn morfil
    • tb-cychwynnol-lapiwr,
    • bzcat,
    • penbwrdd ciwix,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • di-ben-draw,
    • zstdmt,
    • unzstd,
    • ar,
    • gnome-latecs,
    • pngquant
    • calgebra
    • kalgebramobile,
    • amwled
    • dod o hyd,
    • cabledd
    • recordydd sain,
    • monitor camera
    • ddgtk
    • tynnu,
    • unf,
    • gmpc,
    • post electronig,
    • byrdwn
    • gist-past.

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd â diogelwch DDoS, gweinyddwyr VPS VDS 🔥 Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster