projekteldono , ene de kiu sistemo estas evoluigita por izolita ekzekuto de grafikaj, konzolaj kaj servilaj aplikoj. Uzado de Firejail permesas minimumigi la riskon kompromiti la ĉefan sistemon dum rulado de nefidindaj aŭ eble vundeblaj programoj. La programo estas skribita en C-lingvo, licencita sub GPLv2 kaj povas funkcii en iu ajn Linukso-distribuo kun kerno pli malnova ol 3.0. Pretaj pakaĵoj kun Firejail en formatoj deb (Debian, Ubuntu) kaj rpm (CentOS, Fedora).
Por izolado en Firejail nomspacoj, AppArmor, kaj sistema voka filtrado (seccomp-bpf) en Linukso. Post lanĉite, la programo kaj ĉiuj ĝiaj infanprocezoj uzas apartajn vidojn de kernresursoj, kiel la retstako, proceztabelo, kaj muntaj punktoj. Aplikoj kiuj dependas unu de la alia povas esti kombinitaj en unu komunan sablokeston. Se vi deziras, Firejail ankaŭ povas esti uzata por ruli Docker, LXC kaj OpenVZ ujojn.
Male al uj-izolaj iloj, fajromalliberejo estas ekstreme en la agordo kaj ne postulas la preparadon de sistema bildo - la ujo-konsisto estas formita surbaze de la enhavo de la nuna dosiersistemo kaj estas forigita post kiam la aplikaĵo estas kompletigita. Flekseblaj rimedoj por agordi regulojn de aliro al la dosiersistemo estas provizitaj; vi povas determini kiuj dosieroj kaj dosierujoj estas permesitaj aŭ malakceptitaj aliro, konekti provizorajn dosiersistemojn (tmpfs) por datumoj, limigi aliron al dosieroj aŭ dosierujoj nurlegeblaj, kombini dosierujojn pere. bind-mount kaj overlayfs.
Por granda nombro da popularaj aplikoj, inkluzive de Firefox, Chromium, VLC kaj Transmission, pretaj sistemvoka izolado. Por ruli programon en izolita reĝimo, simple specifu la aplikaĵnomon kiel argumenton al la firejail ilo, ekzemple "firejail firefox" aŭ "sudo firejail /etc/init.d/nginx start".
En la nova eldono:
- Vulnerabileco, kiu permesas al malica procezo preteriri la sisteman alvokan restriktan mekanismon, estis riparita. La esenco de la vundebleco estas, ke Seccomp-filtriloj estas kopiitaj al la dosierujo /run/firejail/mnt, kiu estas skribebla en la izolita medio. Malicaj procezoj kurantaj en izoleca reĝimo povas modifi ĉi tiujn dosierojn, kio kaŭzos novajn procezojn kurantajn en la sama medio esti ekzekutitaj sen aplikado de la sistemvoka filtrilo;
- La filtrilo memor-deny-write-execute certigas, ke la alvoko "memfd_create" estas blokita;
- Aldonita nova opcio "private-cwd" por ŝanĝi la labordosierujon por malliberejo;
- Aldonita "--nodbus" opcio por bloki D-Bus-ingojn;
- Revenita subteno por CentOS 6;
- subteno por pakaĵoj en formatoj и .
ke ĉi tiuj pakoj uzu sian propran ilaron; - Novaj profiloj estis aldonitaj por izoli 87 pliajn programojn, inkluzive de mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentoj, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp kaj kantato.
fonto: opennet.ru