projektudgivelse , hvori der udvikles et system til isoleret udførelse af grafiske, konsol- og serverapplikationer. Brug af Firejail giver dig mulighed for at minimere risikoen for at kompromittere hovedsystemet, når du kører utroværdige eller potentielt sårbare programmer. Programmet er skrevet i C-sprog, licenseret under GPLv2 og kan køre på enhver Linux-distribution med en kerne ældre end 3.0. Færdiglavede pakker med Firejail i deb (Debian, Ubuntu) og rpm (CentOS, Fedora) formater.
Til isolation i Firejail navnerum, AppArmor og systemopkaldsfiltrering (seccomp-bpf) i Linux. Når det er startet, bruger programmet og alle dets underordnede processer separate visninger af kerneressourcer, såsom netværksstakken, procestabellen og monteringspunkter. Applikationer, der er afhængige af hinanden, kan kombineres i én fælles sandkasse. Hvis det ønskes, kan Firejail også bruges til at køre Docker, LXC og OpenVZ containere.
I modsætning til containerisoleringsværktøjer er firejail ekstremt i konfigurationen og kræver ikke udarbejdelse af et systembillede - beholdersammensætningen dannes i farten baseret på indholdet af det aktuelle filsystem og slettes, efter at applikationen er afsluttet. Der tilbydes fleksible midler til at indstille adgangsregler til filsystemet; du kan bestemme, hvilke filer og mapper der tillades eller nægtes adgang, forbinde midlertidige filsystemer (tmpfs) til data, begrænse adgangen til filer eller mapper til skrivebeskyttet, kombinere mapper via bind-mount og overlays.
Til en lang række populære applikationer, herunder Firefox, Chromium, VLC og Transmission, færdiglavet systemopkaldsisolering. For at køre et program i isolationstilstand skal du blot angive applikationsnavnet som et argument til firejail-værktøjet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nye udgivelse:
- En sårbarhed, der tillader en ondsindet proces at omgå systemopkaldsbegrænsningsmekanismen, er blevet rettet. Essensen af sårbarheden er, at Seccomp-filtre kopieres til mappen /run/firejail/mnt, som kan skrives i det isolerede miljø. Ondsindede processer, der kører i isolationstilstand, kan ændre disse filer, hvilket vil få nye processer, der kører i det samme miljø, til at blive udført uden at anvende systemopkaldsfilteret;
- Memory-deny-write-execute-filteret sikrer, at "memfd_create"-kaldet er blokeret;
- Tilføjet ny mulighed "private-cwd" for at ændre arbejdsbiblioteket for fængsel;
- Tilføjet "--nodbus" mulighed for at blokere D-Bus-stik;
- Returnerede support til CentOS 6;
- understøttelse af pakker i formater и .
at disse pakker skal bruge deres eget værktøj; - Nye profiler er blevet tilføjet for at isolere 87 yderligere programmer, inklusive mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-præsentationer, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp og kantate.
Kilde: opennet.ru