ProHoster > Blog > internet nyheder > Firejail 0.9.60 Application Isolation Release

Firejail 0.9.60 Application Isolation Release

Så lyset projektudgivelse Firejail 0.9.60, hvori der udvikles et system til isoleret udførelse af grafiske, konsol- og serverapplikationer. Brug af Firejail giver dig mulighed for at minimere risikoen for at kompromittere hovedsystemet, når du kører utroværdige eller potentielt sårbare programmer. Programmet er skrevet i C-sprog, distribueret af licenseret under GPLv2 og kan køre på enhver distribution Linux med en kerne ældre end 3.0. Færdiglavede pakker med Firejail forberedt i deb-formater (Debian, Ubuntu) og omdrejninger (CentOS, Fedora).

Til isolation i Firejail er brugt navnerum, AppArmor og systemkaldsfiltrering (seccomp-bpf) i LinuxNår et program og alle dets underprocesser er startet, bruger de separate repræsentationer af kerneressourcer, såsom netværksstakken, procestabellen og monteringspunkter. Indbyrdes afhængige applikationer kan kombineres i en enkelt delt sandkasse. Firejail kan eventuelt også bruges til at køre Docker-, LXC- og OpenVZ-containere.

I modsætning til containerisoleringsværktøjer er firejail ekstremt enkel i konfigurationen og kræver ikke forberedelse af et systembillede - containersammensætningen dannes on-the-fly baseret på indholdet af den aktuelle FS og slettes, når applikationen er færdig. Der tilbydes fleksible midler til at indstille regler for adgang til filsystemet. Du kan bestemme, hvilke filer og mapper der har eller nægtes adgang, forbinde midlertidige FS'er (tmpfs) til data, begrænse adgang til filer eller mapper til skrivebeskyttet adgang, kombinere mapper via bind-mount og overlayfs.

Til en lang række populære applikationer, herunder Firefox, Chromium, VLC og Transmission, færdiglavet profiler Isolering af systemkald. For at køre et program i isolationstilstand skal du blot angive programnavnet som et argument til firejail-værktøjet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".

I den nye udgivelse:

  • En sårbarhed er blevet rettet, der tillader en ondsindet proces at omgå systemkaldsbegrænsningsmekanismen. Sårbarheden består i, at Seccomp-filtre kopieres til mappen /run/firejail/mnt, som er skrivbar i det isolerede miljø. Ondsindede processer, der startes i isolationstilstand, kan ændre disse filer, hvilket vil føre til, at nye processer, der startes i det samme miljø, udføres uden at anvende systemkaldsfilteret.
  • Filteret memory-deny-write-execute sikrer, at kaldet "memfd_create" blokeres;
  • Tilføjet ny indstilling "private-cwd" for at ændre arbejdsmappen for jail;
  • Tilføjet "--nodbus"-indstilling til at blokere D-Bus-sockets;
  • Support vendt tilbage CentOS 6;
  • Udgået understøttelse af pakker i formater flatpak и snap.
    Specificeret, at disse pakker skal bruge deres egne værktøjer;
  • Tilføjet nye profiler for at isolere 87 yderligere programmer, herunder mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp og cantata.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster