έκδοση έργου , εντός του οποίου αναπτύσσεται ένα σύστημα για μεμονωμένη εκτέλεση εφαρμογών γραφικών, κονσόλας και διακομιστή. Η χρήση του Firejail σάς επιτρέπει να ελαχιστοποιήσετε τον κίνδυνο παραβίασης του κύριου συστήματος κατά την εκτέλεση αναξιόπιστων ή δυνητικά ευάλωτων προγραμμάτων. Το πρόγραμμα είναι γραμμένο σε γλώσσα C, άδεια σύμφωνα με το GPLv2 και μπορεί να εκτελεστεί σε οποιαδήποτε διανομή Linux με πυρήνα παλαιότερο από 3.0. Έτοιμα πακέτα με Firejail σε μορφές deb (Debian, Ubuntu) και rpm (CentOS, Fedora).
Για απομόνωση στο Firejail Χώροι ονομάτων, AppArmor και φιλτράρισμα κλήσεων συστήματος (seccomp-bpf) στο Linux. Μετά την εκκίνηση, το πρόγραμμα και όλες οι θυγατρικές διεργασίες του χρησιμοποιούν ξεχωριστές προβολές πόρων του πυρήνα, όπως η στοίβα δικτύου, ο πίνακας διεργασιών και τα σημεία προσάρτησης. Οι εφαρμογές που εξαρτώνται η μία από την άλλη μπορούν να συνδυαστούν σε ένα κοινό sandbox. Εάν επιθυμείτε, το Firejail μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση κοντέινερ Docker, LXC και OpenVZ.
Σε αντίθεση με τα εργαλεία μόνωσης κοντέινερ, το firejail είναι εξαιρετικά στη διαμόρφωση και δεν απαιτεί την προετοιμασία εικόνας συστήματος - η σύνθεση του κοντέινερ σχηματίζεται εν κινήσει με βάση τα περιεχόμενα του τρέχοντος συστήματος αρχείων και διαγράφεται μετά την ολοκλήρωση της εφαρμογής. Παρέχονται ευέλικτα μέσα ρύθμισης κανόνων πρόσβασης στο σύστημα αρχείων· μπορείτε να προσδιορίσετε σε ποια αρχεία και σε ποιους καταλόγους επιτρέπεται ή απαγορεύεται η πρόσβαση, να συνδέσετε προσωρινά συστήματα αρχείων (tmpfs) για δεδομένα, να περιορίσετε την πρόσβαση σε αρχεία ή καταλόγους μόνο για ανάγνωση, να συνδυάσετε καταλόγους μέσω bind-mount και overlayfs.
Για μεγάλο αριθμό δημοφιλών εφαρμογών, συμπεριλαμβανομένων των Firefox, Chromium, VLC και Transmission, έτοιμες απομόνωση κλήσεων συστήματος. Για να εκτελέσετε ένα πρόγραμμα σε λειτουργία απομόνωσης, απλώς καθορίστε το όνομα της εφαρμογής ως όρισμα στο βοηθητικό πρόγραμμα firejail, για παράδειγμα, "firejail firefox" ή "sudo firejail /etc/init.d/nginx start".
Στη νέα έκδοση:
- Διορθώθηκε ένα θέμα ευπάθειας που επιτρέπει σε μια κακόβουλη διαδικασία να παρακάμψει τον μηχανισμό περιορισμού κλήσεων συστήματος. Η ουσία της ευπάθειας είναι ότι τα φίλτρα Seccomp αντιγράφονται στον κατάλογο /run/firejail/mnt, ο οποίος είναι εγγράψιμος μέσα στο απομονωμένο περιβάλλον. Οι κακόβουλες διεργασίες που εκτελούνται σε λειτουργία απομόνωσης μπορούν να τροποποιήσουν αυτά τα αρχεία, γεγονός που θα προκαλέσει την εκτέλεση νέων διεργασιών που εκτελούνται στο ίδιο περιβάλλον χωρίς την εφαρμογή του φίλτρου κλήσεων συστήματος.
- Το φίλτρο άρνησης-εγγραφής-εκτέλεσης μνήμης διασφαλίζει ότι η κλήση «memfd_create» είναι αποκλεισμένη.
- Προστέθηκε νέα επιλογή "private-cwd" για αλλαγή του καταλόγου εργασίας για τη φυλακή.
- Προστέθηκε η επιλογή "--nodbus" για τον αποκλεισμό των υποδοχών D-Bus.
- Επέστρεψε υποστήριξη για το CentOS 6.
- υποστήριξη για πακέτα σε μορφές и .
ότι αυτά τα πακέτα θα πρέπει να χρησιμοποιούν τα δικά τους εργαλεία. - Προστέθηκαν νέα προφίλ για την απομόνωση 87 επιπλέον προγραμμάτων, συμπεριλαμβανομένων των mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp και cantata.
Πηγή: opennet.ru