ProHoster > Blog > Internetnachrichten > Firejail 0.9.62 Anwendungsisolationsversion

Firejail 0.9.62 Anwendungsisolationsversion

Nach sechs Monaten Entwicklungszeit ist verfügbar Projektfreigabe Feuergefängnis 0.9.62, innerhalb dessen ein System zur isolierten Ausführung von Grafik-, Konsolen- und Serveranwendungen entwickelt wird. Mit Firejail können Sie das Risiko einer Gefährdung des Hauptsystems durch die Ausführung nicht vertrauenswürdiger oder potenziell anfälliger Programme minimieren. Das Programm ist in der Sprache C geschrieben, vertrieben von lizenziert unter GPLv2 und kann auf jeder Linux-Distribution mit einem Kernel älter als 3.0 ausgeführt werden. Fertige Pakete mit Firejail bereit in den Formaten deb (Debian, Ubuntu) und rpm (CentOS, Fedora).

Zur Isolation im Feuergefängnis используются Namespaces, AppArmor und Systemaufruffilterung (seccomp-bpf) unter Linux. Nach dem Start verwenden das Programm und alle seine untergeordneten Prozesse separate Ansichten der Kernelressourcen, wie z. B. den Netzwerkstapel, die Prozesstabelle und Bereitstellungspunkte. Voneinander abhängige Anwendungen können in einer gemeinsamen Sandbox zusammengefasst werden. Auf Wunsch können mit Firejail auch Docker-, LXC- und OpenVZ-Container ausgeführt werden.

Im Gegensatz zu Container-Isolierwerkzeugen ist Firejail äußerst robust einfach in der Konfiguration und erfordert keine Vorbereitung eines Systemabbilds – die Containerzusammensetzung wird im Handumdrehen basierend auf dem Inhalt des aktuellen Dateisystems erstellt und nach Abschluss der Anwendung gelöscht. Es stehen flexible Möglichkeiten zum Festlegen von Zugriffsregeln für das Dateisystem zur Verfügung. Sie können festlegen, auf welche Dateien und Verzeichnisse Zugriff gewährt oder verweigert werden soll, temporäre Dateisysteme (tmpfs) für Daten verbinden, den Zugriff auf Dateien oder Verzeichnisse auf schreibgeschützt beschränken und Verzeichnisse zusammenfassen bind-mount und overlayfs.

Für eine Vielzahl beliebter Anwendungen, darunter Firefox, Chromium, VLC und Transmission, vorgefertigt Profile Isolierung von Systemaufrufen. Um die zum Einrichten einer Sandbox-Umgebung erforderlichen Berechtigungen zu erhalten, wird die ausführbare Firejail-Datei mit dem SUID-Root-Flag installiert (Berechtigungen werden nach der Initialisierung zurückgesetzt). Um ein Programm im Isolationsmodus auszuführen, geben Sie einfach den Anwendungsnamen als Argument für das Firejail-Dienstprogramm an, zum Beispiel „firejail firefox“ oder „sudo firejail /etc/init.d/nginx start“.

In der neuen Version:

  • In der Konfigurationsdatei /etc/firejail/firejail.config hinzugefügt file-copy-limit-Einstellung, mit der Sie die Größe der Dateien begrenzen können, die in den Speicher kopiert werden, wenn Sie die Optionen „--private-*“ verwenden (standardmäßig ist die Grenze auf 500 MB eingestellt).
  • Dem Verzeichnis /usr/share/doc/firejail wurden Vorlagen zum Erstellen neuer Anwendungseinschränkungsprofile hinzugefügt.
  • Profile ermöglichen die Verwendung von Debuggern.
  • Verbesserte Filterung von Systemaufrufen mithilfe des Seccomp-Mechanismus.
  • Es wird eine automatische Erkennung von Compiler-Flags bereitgestellt.
  • Der Chroot-Aufruf erfolgt nicht mehr basierend auf dem Pfad, sondern mithilfe von Mount-Punkten basierend auf dem Dateideskriptor.
  • Das Verzeichnis /usr/share wird von verschiedenen Profilen auf die Whitelist gesetzt.
  • Dem Conrib-Bereich wurden die neuen Hilfsskripte gdb-firejail.sh und sort.py hinzugefügt.
  • Verstärkter Schutz in der Ausführungsphase von privilegiertem Code (SUID).
  • Für Profile wurden neue bedingte Attribute HAS_X11 und HAS_NET implementiert, um das Vorhandensein eines X-Servers und Netzwerkzugriffs zu überprüfen.
  • Profile für den isolierten Anwendungsstart hinzugefügt (die Gesamtzahl der Profile wurde auf 884 erhöht):
    • i2p,
    • Tor-Browser (AUR),
    • Zulip,
    • rsync
    • signal-cli
    • tcpdump
    • Tshark,
    • qgis
    • OpenArena,
    • Godot,
    • Klatexformel,
    • klatexformula_cmdl,
    • Links,
    • xlinks,
    • Pandoc
    • Teams-für-Linux,
    • Gnome-Soundrecorder,
    • Nachrichtenbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • Rhythmbox-Client,
    • Jerry
    • Eifer,
    • mpg123,
    • Conplay,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • out123,
    • mpg123-Buchse,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulse,
    • mpg123-streifen,
    • pavucontrol-qt,
    • Gnom-Charaktere,
    • Gnome-Charakterkarte,
    • Walvogel
    • tb-starter-wrapper,
    • bzcat,
    • Kiwix-Desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ähm,
    • Gnom-Latex,
    • pngquant
    • Calgebra
    • Kalgebramobil,
    • amuliert
    • kfind,
    • Profanität
    • Audiorecorder,
    • Kameramonitor
    • ddgtk
    • drawio,
    • unf,
    • gmpc,
    • elektronische Post,
    • Hefe,
    • Kern-Paste.

Source: opennet.ru

Kommentar hinzufügen