Projektfreigabe , innerhalb dessen ein System zur isolierten Ausführung von Grafik-, Konsolen- und Serveranwendungen entwickelt wird. Mit Firejail können Sie das Risiko einer Gefährdung des Hauptsystems durch die Ausführung nicht vertrauenswürdiger oder potenziell anfälliger Programme minimieren. Das Programm ist in der Sprache C geschrieben, lizenziert unter GPLv2 und kann auf jeder Linux-Distribution mit einem Kernel älter als 3.0 ausgeführt werden. Fertige Pakete mit Firejail in den Formaten deb (Debian, Ubuntu) und rpm (CentOS, Fedora).
Zur Isolation im Feuergefängnis Namespaces, AppArmor und Systemaufruffilterung (seccomp-bpf) unter Linux. Nach dem Start verwenden das Programm und alle seine untergeordneten Prozesse separate Ansichten der Kernel-Ressourcen, wie z. B. den Netzwerkstapel, die Prozesstabelle und Bereitstellungspunkte. Voneinander abhängige Anwendungen können in einer gemeinsamen Sandbox zusammengefasst werden. Auf Wunsch können mit Firejail auch Docker-, LXC- und OpenVZ-Container ausgeführt werden.
Im Gegensatz zu Container-Isolierwerkzeugen ist Firejail äußerst robust in der Konfiguration und erfordert keine Vorbereitung eines Systemabbilds – die Containerzusammensetzung wird im Handumdrehen basierend auf dem Inhalt des aktuellen Dateisystems erstellt und nach Abschluss der Anwendung gelöscht. Es stehen flexible Möglichkeiten zum Festlegen von Zugriffsregeln für das Dateisystem zur Verfügung. Sie können festlegen, auf welche Dateien und Verzeichnisse Zugriff gewährt oder verweigert werden soll, temporäre Dateisysteme (tmpfs) für Daten verbinden, den Zugriff auf Dateien oder Verzeichnisse auf schreibgeschützt beschränken und Verzeichnisse zusammenfassen bind-mount und overlayfs.
Für eine Vielzahl beliebter Anwendungen, darunter Firefox, Chromium, VLC und Transmission, vorgefertigt Isolierung von Systemaufrufen. Um ein Programm im Isolationsmodus auszuführen, geben Sie einfach den Anwendungsnamen als Argument für das Firejail-Dienstprogramm an, zum Beispiel „firejail firefox“ oder „sudo firejail /etc/init.d/nginx start“.
In der neuen Version:
- Eine Sicherheitslücke, die es einem böswilligen Prozess ermöglicht, den Mechanismus zur Beschränkung von Systemaufrufen zu umgehen, wurde behoben. Der Kern der Sicherheitslücke besteht darin, dass Seccomp-Filter in das Verzeichnis /run/firejail/mnt kopiert werden, das in der isolierten Umgebung beschreibbar ist. Schädliche Prozesse, die im Isolationsmodus ausgeführt werden, können diese Dateien ändern, was dazu führt, dass neue Prozesse, die in derselben Umgebung ausgeführt werden, ohne Anwendung des Systemaufruffilters ausgeführt werden.
- Der Memory-Deny-Write-Execute-Filter stellt sicher, dass der „memfd_create“-Aufruf blockiert wird;
- Neue Option „private-cwd“ hinzugefügt, um das Arbeitsverzeichnis für Jail zu ändern;
- Option „--nodbus“ hinzugefügt, um D-Bus-Sockets zu blockieren;
- Zurückgegebene Unterstützung für CentOS 6;
- Unterstützung für Pakete in Formaten и .
dass diese Pakete ihre eigenen Tools verwenden sollten; - Neue Profile wurden hinzugefügt, um 87 zusätzliche Programme zu isolieren, darunter MyPaint, Nano, freemind, kid4, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp und cantata.
Source: opennet.ru