Δημοσιεύτηκε η κυκλοφορία του έργου Firejail 0.9.72, το οποίο αναπτύσσει ένα σύστημα μεμονωμένης εκτέλεσης εφαρμογών γραφικών, κονσόλας και διακομιστή, επιτρέποντας την ελαχιστοποίηση του κινδύνου παραβίασης του κύριου συστήματος κατά την εκτέλεση αναξιόπιστων ή δυνητικά ευάλωτων προγραμμάτων. Το πρόγραμμα είναι γραμμένο σε C, διανέμεται με την άδεια GPLv2 και μπορεί να τρέξει σε οποιαδήποτε διανομή Linux με πυρήνα παλαιότερο από 3.0. Τα έτοιμα πακέτα Firejail προετοιμάζονται σε μορφές deb (Debian, Ubuntu) και rpm (CentOS, Fedora).
Για απομόνωση, το Firejail χρησιμοποιεί χώρους ονομάτων, AppArmor και φιλτράρισμα κλήσεων συστήματος (seccomp-bpf) στο Linux. Μετά την εκκίνηση, το πρόγραμμα και όλες οι θυγατρικές διεργασίες του χρησιμοποιούν ξεχωριστές προβολές πόρων του πυρήνα, όπως η στοίβα δικτύου, ο πίνακας διεργασιών και τα σημεία προσάρτησης. Οι εφαρμογές που εξαρτώνται η μία από την άλλη μπορούν να συνδυαστούν σε ένα κοινό sandbox. Εάν επιθυμείτε, το Firejail μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση κοντέινερ Docker, LXC και OpenVZ.
Σε αντίθεση με τα εργαλεία απομόνωσης κοντέινερ, το firejail είναι εξαιρετικά απλό στη διαμόρφωση και δεν απαιτεί την προετοιμασία εικόνας συστήματος - η σύνθεση του κοντέινερ διαμορφώνεται αμέσως με βάση τα περιεχόμενα του τρέχοντος συστήματος αρχείων και διαγράφεται μετά την ολοκλήρωση της εφαρμογής. Παρέχονται ευέλικτα μέσα ρύθμισης κανόνων πρόσβασης στο σύστημα αρχείων· μπορείτε να προσδιορίσετε σε ποια αρχεία και σε ποιους καταλόγους επιτρέπεται ή απαγορεύεται η πρόσβαση, να συνδέσετε προσωρινά συστήματα αρχείων (tmpfs) για δεδομένα, να περιορίσετε την πρόσβαση σε αρχεία ή καταλόγους μόνο για ανάγνωση, να συνδυάσετε καταλόγους μέσω bind-mount και overlayfs.
Για μεγάλο αριθμό δημοφιλών εφαρμογών, συμπεριλαμβανομένων των Firefox, Chromium, VLC και Transmission, έχουν ετοιμαστεί έτοιμα προφίλ απομόνωσης κλήσεων συστήματος. Για να αποκτήσετε τα απαραίτητα δικαιώματα για τη δημιουργία ενός περιβάλλοντος sandbox, το εκτελέσιμο αρχείο firejail εγκαθίσταται με τη σημαία ρίζας SUID (τα δικαιώματα επαναφέρονται μετά την προετοιμασία). Για να εκτελέσετε ένα πρόγραμμα σε λειτουργία απομόνωσης, απλώς καθορίστε το όνομα της εφαρμογής ως όρισμα στο βοηθητικό πρόγραμμα firejail, για παράδειγμα, "firejail firefox" ή "sudo firejail /etc/init.d/nginx start".
Στη νέα έκδοση:
- Προστέθηκε ένα φίλτρο seccomp για κλήσεις συστήματος που αποκλείει τη δημιουργία χώρων ονομάτων (η επιλογή "--περιορισμός-χώρων ονομάτων" έχει προστεθεί για ενεργοποίηση). Ενημερωμένοι πίνακες κλήσεων συστήματος και ομάδες seccomp.
- Βελτιωμένη λειτουργία force-nonewprivs (NO_NEW_PRIVS), η οποία εμποδίζει τις νέες διεργασίες να αποκτήσουν πρόσθετα προνόμια.
- Προστέθηκε η δυνατότητα χρήσης των δικών σας προφίλ AppArmor (η επιλογή «--apparmor» προσφέρεται για σύνδεση).
- Το σύστημα παρακολούθησης της κυκλοφορίας δικτύου nettrace, το οποίο εμφανίζει πληροφορίες σχετικά με την IP και την ένταση κυκλοφορίας από κάθε διεύθυνση, υλοποιεί την υποστήριξη ICMP και προσφέρει τις επιλογές "--dnstrace", "--icmptrace" και "--snitrace".
- Οι εντολές --cgroup και --shell έχουν αφαιρεθεί (η προεπιλογή είναι --shell=none). Η κατασκευή του Firetunnel έχει διακοπεί από προεπιλογή. Απενεργοποιημένες ρυθμίσεις chroot, private-lib και tracelog στο /etc/firejail/firejail.config. Η υποστήριξη grsecurity έχει διακοπεί.
Πηγή: opennet.ru