ProHoster > Blog > internet nyheder > Firejail 0.9.62 Application Isolation Release

Firejail 0.9.62 Application Isolation Release

Efter seks måneders udvikling ledig projektudgivelse Firejail 0.9.62, hvori der udvikles et system til isoleret udførelse af grafiske, konsol- og serverapplikationer. Brug af Firejail giver dig mulighed for at minimere risikoen for at kompromittere hovedsystemet, når du kører utroværdige eller potentielt sårbare programmer. Programmet er skrevet i C-sprog, distribueret af licenseret under GPLv2 og kan køre på enhver distribution Linux med en kerne ældre end 3.0. Færdiglavede pakker med Firejail forberedt i deb-formater (Debian, Ubuntu) og omdrejninger (CentOS, Fedora).

Til isolation i Firejail er brugt navnerum, AppArmor og systemkaldsfiltrering (seccomp-bpf) i LinuxNår et program og alle dets underprocesser er startet, bruger de separate repræsentationer af kerneressourcer, såsom netværksstakken, procestabellen og monteringspunkter. Indbyrdes afhængige applikationer kan kombineres i en enkelt delt sandkasse. Firejail kan også bruges til at køre Docker-, LXC- og OpenVZ-containere.

I modsætning til containerisoleringsværktøjer er firejail ekstremt enkel i konfigurationen og kræver ikke udarbejdelse af et systembillede - beholdersammensætningen dannes i farten baseret på indholdet af det aktuelle filsystem og slettes, efter at applikationen er afsluttet. Fleksible midler til at indstille adgangsregler til filsystemet er tilvejebragt; du kan bestemme hvilke filer og mapper der tillades eller nægtes adgang, forbinde midlertidige filsystemer (tmpfs) til data, begrænse adgangen til filer eller mapper til skrivebeskyttet, kombinere mapper gennem bind-mount og overlays.

Til en lang række populære applikationer, herunder Firefox, Chromium, VLC og Transmission, færdiglavet profiler systemopkaldsisolering. For at opnå de nødvendige privilegier for at opsætte et sandkassemiljø installeres firejail-eksekverbare filen med SUID-rodflaget (privilegierne nulstilles efter initialisering). For at køre et program i isolationstilstand skal du blot angive applikationsnavnet som et argument til firejail-værktøjet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".

I den nye udgivelse:

  • I konfigurationsfilen /etc/firejail/firejail.config tilføjet file-copy-limit indstilling, som giver dig mulighed for at begrænse størrelsen af ​​filer, der vil blive kopieret til hukommelsen, når du bruger "--private-*"-indstillingerne (som standard er grænsen sat til 500MB).
  • Skabeloner til oprettelse af nye applikationsbegrænsningsprofiler er blevet tilføjet til mappen /usr/share/doc/firejail.
  • Profiler tillader brug af debuggere.
  • Forbedret filtrering af systemopkald ved hjælp af seccomp-mekanismen.
  • Automatisk detektering af compilerflag er tilvejebragt.
  • Chroot-kaldet foretages ikke længere baseret på stien, men ved hjælp af monteringspunkter baseret på filbeskrivelsen.
  • Mappen /usr/share er hvidlistet af forskellige profiler.
  • Nye hjælpescripts gdb-firejail.sh og sort.py er blevet tilføjet til conrib-sektionen.
  • Styrket beskyttelse på udførelsesstadiet af privilegeret kode (SUID).
  • For profiler er nye betingede attributter HAS_X11 og HAS_NET blevet implementeret for at kontrollere tilstedeværelsen af ​​en X-server og netværksadgang.
  • Tilføjede profiler til isoleret applikationslancering (det samlede antal profiler steg til 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync
    • signal-cli
    • tcpdump
    • tshark,
    • qgis
    • OpenArena,
    • godot,
    • klatexformel,
    • klatexformula_cmdl,
    • links,
    • xlinks,
    • pandoc
    • teams-for-linux,
    • gnome-lydoptager,
    • nyhedsbrev,
    • keeppassxc-cli,
    • keepassxc-proxy,
    • rhythmbox-klient,
    • jerry
    • iver,
    • mpg123,
    • sammenspil,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • ud123,
    • mpg123-stik,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-puls,
    • mpg123-strip,
    • pavucontrol-qt,
    • nisse-karakterer,
    • nisse-karakter-kort,
    • Hvalfugl
    • tb-starter-indpakning,
    • bzcat,
    • kiwix-desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar,
    • gnome-latex,
    • pngquant
    • calgebra
    • kalgebramobile,
    • amulerede
    • kfind,
    • bandeord
    • lydoptager,
    • kameramonitor
    • ddgtk
    • drawio,
    • unf,
    • gmpc,
    • elektron-mail,
    • essens
    • gist-pasta.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster