Κυκλοφόρησε το Firejail 0.9.72. Αναπτύσσει ένα σύστημα για μεμονωμένη εκτέλεση γραφικών εφαρμογών, εφαρμογών κονσόλας και διακομιστή, ελαχιστοποιώντας τον κίνδυνο παραβίασης του συστήματος υποδοχής κατά την εκτέλεση μη αξιόπιστων ή δυνητικά ευάλωτων προγραμμάτων. Το πρόγραμμα είναι γραμμένο σε C, διανέμεται με την άδεια GPLv2 και εκτελείται σε οποιαδήποτε διανομή. Linux με πυρήνα παλαιότερο από 3.0. Τα έτοιμα πακέτα με Firejail προετοιμάζονται σε μορφές deb (Debian, Ubuntu) και στροφές ανά λεπτό (CentOS, Fedora).
Το Firejail χρησιμοποιεί χώρους ονομάτων, AppArmor και φιλτράρισμα κλήσεων συστήματος (seccomp-bpf) για απομόνωση. LinuxΜόλις εκκινηθεί, ένα πρόγραμμα και όλες οι θυγατρικές διεργασίες του χρησιμοποιούν ξεχωριστές αναπαραστάσεις των πόρων του πυρήνα, όπως η στοίβα δικτύου, ο πίνακας διεργασιών και τα σημεία προσάρτησης. Οι αλληλεξαρτώμενες εφαρμογές μπορούν να συνδυαστούν σε ένα ενιαίο κοινόχρηστο sandbox. Το Firejail μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση κοντέινερ Docker, LXC και OpenVZ.
Σε αντίθεση με τα εργαλεία απομόνωσης κοντέινερ, το Firejail είναι εξαιρετικά απλό στη διαμόρφωση και δεν απαιτεί προετοιμασία εικόνας συστήματος - η σύνθεση του κοντέινερ σχηματίζεται εν κινήσει με βάση τα περιεχόμενα του τρέχοντος λειτουργικού συστήματος και διαγράφεται μετά την ολοκλήρωση της εφαρμογής. Παρέχονται ευέλικτα μέσα για τον καθορισμό κανόνων πρόσβασης στο σύστημα αρχείων. Μπορείτε να καθορίσετε σε ποια αρχεία και καταλόγους επιτρέπεται ή απαγορεύεται η πρόσβαση, να συνδέσετε προσωρινά FS (tmpfs) για δεδομένα, να περιορίσετε την πρόσβαση σε αρχεία ή καταλόγους μόνο για ανάγνωση, να συνδυάσετε καταλόγους μέσω bind-mount και overlayfs.
Έτοι προς χρήση προφίλ απομόνωσης κλήσεων συστήματος είναι διαθέσιμοι για μεγάλο αριθμό δημοφιλών εφαρμογών, όπως οι Firefox, Chromium, VLC και Transmission. Για να αποκτήσετε τα απαραίτητα δικαιώματα για τη ρύθμιση του απομονωμένου περιβάλλοντος, το εκτελέσιμο αρχείο firejail εγκαθίσταται με τη σημαία root SUID (τα δικαιώματα καταργούνται μετά την αρχικοποίηση). Για να εκτελέσετε ένα πρόγραμμα σε λειτουργία απομόνωσης, απλώς καθορίστε το όνομα της εφαρμογής ως όρισμα στο βοηθητικό πρόγραμμα firejail, για παράδειγμα, "firejail firefox" ή "sudo firejail /etc/init.d/nginx start".
Στη νέα έκδοση:
- Προστέθηκε φίλτρο κλήσεων συστήματος seccomp για τον αποκλεισμό της δημιουργίας χώρου ονομάτων (προστέθηκε η επιλογή "--restrict-namespaces" για ενεργοποίηση). Ενημερώθηκαν οι πίνακες κλήσεων συστήματος και οι ομάδες seccomp.
- Βελτιωμένη λειτουργία force-nonewprivs (NO_NEW_PRIVS) για την αποτροπή της απόκτησης πρόσθετων δικαιωμάτων από νέες διεργασίες.
- Προστέθηκε η δυνατότητα χρήσης των δικών σας προφίλ AppArmor (η επιλογή "—apparmor" προσφέρεται για σύνδεση).
- Το σύστημα παρακολούθησης της κίνησης δικτύου nettrace, το οποίο εμφανίζει πληροφορίες IP και την ποσότητα κίνησης από κάθε διεύθυνση, υλοποιεί υποστήριξη ICMP και προσφέρει τις επιλογές "--dnstrace", "--icmptrace" και "--snitrace".
- Αφαιρέθηκαν οι εντολές --cgroup και --shell (η προεπιλογή είναι --shell=none). Η δημιουργία του Firetunnel σταμάτησε από προεπιλογή. Απενεργοποιήθηκαν οι ρυθμίσεις chroot, private-lib και tracelog στο /etc/firejail/firejail.config. Η υποστήριξη για το grsecurity έχει διακοπεί.
Πηγή: opennet.ru
