Frigivelsen af Firejail 0.9.72-projektet er blevet offentliggjort, som udvikler et system til isoleret eksekvering af grafiske, konsol- og serverapplikationer, som gør det muligt at minimere risikoen for at kompromittere hovedsystemet, når man kører utroværdige eller potentielt sårbare programmer. Programmet er skrevet i C, distribueret under GPLv2-licensen og kan køre på enhver Linux-distribution med en kerne ældre end 3.0. Klare pakker med Firejail er forberedt i deb (Debian, Ubuntu) og rpm (CentOS, Fedora) formater.
Til isolering bruger Firejail navnerum (navnerum), AppArmor og systemopkaldsfiltrering (seccomp-bpf) i Linux. Når det er startet, bruger programmet og alle dets underordnede processer separate repræsentationer af kerneressourcer såsom netværksstakken, procestabellen og monteringspunkter. Applikationer, der er afhængige af hinanden, kan kombineres til én fælles sandkasse. Hvis det ønskes, kan Firejail også bruges til at køre Docker, LXC og OpenVZ containere.
I modsætning til containerisoleringsværktøjer er firejail ekstremt simpelt at konfigurere og kræver ikke udarbejdelse af et systembillede - sammensætningen af containeren dannes i farten baseret på indholdet af det aktuelle filsystem og slettes, efter at applikationen afsluttes. Der findes fleksible værktøjer til indstilling af regler for filsystemadgang, du kan bestemme, hvilke filer og mapper der tillades eller nægtes adgang, forbinde midlertidige filsystemer (tmpfs) til data, begrænse adgangen til filer eller mapper til kun at læse, kombinere mapper via bind-mount og overlæg.
Et stort antal populære applikationer, herunder Firefox, Chromium, VLC og Transmission, har forudkonfigurerede systemopkaldsisoleringsprofiler. For at opnå de rettigheder, der kræves for at konfigurere et sandbox-miljø, installeres den eksekverbare firejail med SUID-rodflaget (privilegierne nulstilles efter initialisering). For at køre et program i isolationstilstand er det nok at angive navnet på applikationen som et argument til firejail-værktøjet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nye udgivelse:
- Tilføjet seccomp systemopkaldsfilter for at blokere oprettelse af navnerum (tilsat "--restrict-namespaces" mulighed for at aktivere). Opdaterede systemkaldstabeller og sekundære grupper.
- Forbedret force-nonewprivs (NO_NEW_PRIVS) tilstand for at forhindre nye processer i at få yderligere privilegier.
- Tilføjet muligheden for at bruge dine egne AppArmor-profiler (muligheden "--apparmor" tilbydes til tilslutning).
- Nettrace netværkstrafiksporingssystem, som viser information om IP og trafikintensitet fra hver adresse, understøtter ICMP og tilbyder "-dnstrace", "--icmptrace" og "--snitrace" muligheder.
- Fjernede --cgroup og --shell kommandoer (standard er --shell=ingen). Firetunnel build er stoppet som standard. Deaktiveret chroot, private-lib og tracelog indstillinger i /etc/firejail/firejail.config. Fjernet støtte til grsecurity.
Kilde: opennet.ru