Post ses monatoj da evoluo projekteldono , ene de kiu sistemo estas evoluigita por izolita ekzekuto de grafikaj, konzolaj kaj servilaj aplikoj. Uzado de Firejail permesas minimumigi la riskon kompromiti la ĉefan sistemon dum rulado de nefidindaj aŭ eble vundeblaj programoj. La programo estas skribita en C-lingvo, licencita sub GPLv2 kaj povas funkcii en iu ajn Linukso-distribuo kun kerno pli malnova ol 3.0. Pretaj pakaĵoj kun Firejail en formatoj deb (Debian, Ubuntu) kaj rpm (CentOS, Fedora).
Por izolado en Firejail nomspacoj, AppArmor, kaj sistema voka filtrado (seccomp-bpf) en Linukso. Post lanĉite, la programo kaj ĉiuj ĝiaj infanprocezoj uzas apartajn vidojn de kernaj rimedoj, kiel la retstako, proceztabelo kaj muntpunktoj. Aplikoj kiuj dependas unu de la alia povas esti kombinitaj en unu komunan sablokeston. Se vi deziras, Firejail ankaŭ povas esti uzata por ruli Docker, LXC kaj OpenVZ ujojn.
Male al uj-izolaj iloj, fajromalliberejo estas ekstreme en la agordo kaj ne postulas la preparadon de sistema bildo - la ujo-konsisto estas formita surbaze de la enhavo de la nuna dosiersistemo kaj estas forigita post kiam la aplikaĵo estas kompletigita. Flekseblaj rimedoj por agordi regulojn de aliro al la dosiersistemo estas provizitaj; vi povas determini kiuj dosieroj kaj dosierujoj estas permesitaj aŭ malakceptitaj aliro, konekti provizorajn dosiersistemojn (tmpfs) por datumoj, limigi aliron al dosieroj aŭ dosierujoj nurlegeblaj, kombini dosierujojn pere. bind-mount kaj overlayfs.
Por granda nombro da popularaj aplikoj, inkluzive de Firefox, Chromium, VLC kaj Transmission, pretaj sistemvoka izolado. Por akiri la privilegiojn necesajn por agordi sandboxed medion, la firejail rulebla estas instalita kun la SUID radika flago (privilegioj estas restarigitaj post inicialigo). Por ruli programon en izoleca reĝimo, simple specifu la aplikaĵnomon kiel argumenton al la firejail-ilaĵo, ekzemple "firejail firefox" aŭ "sudo firejail /etc/init.d/nginx start".
En la nova eldono:
- En la agorda dosiero /etc/firejail/firejail.config agordo de dosiero-kopi-limo, kiu ebligas al vi limigi la grandecon de dosieroj, kiuj estos kopiitaj en memoron, kiam vi uzas la opciojn "--private-*" (defaŭlte la limo estas agordita al 500MB).
- Ŝablonoj por krei novajn aplikajn restriktajn profilojn estis aldonitaj al la dosierujo /usr/share/doc/firejail.
- Profiloj permesas la uzon de erarserĉiloj.
- Plibonigita filtrado de sistemvokoj uzante la seccomp-mekanismon.
- Aŭtomata detekto de kompililoj estas provizita.
- La chroot-voko ne plu estas farita surbaze de la vojo, sed uzante muntajn punktojn bazitajn sur la dosierpriskribilo.
- La dosierujo /usr/share estas blanklisto de diversaj profiloj.
- Novaj helpaj skriptoj gdb-firejail.sh kaj sort.py estis aldonitaj al la sekcio conrib.
- Plifortigita protekto ĉe la ekzekutstadio de privilegia kodo (SUID).
- Por profiloj, novaj kondiĉaj atributoj HAS_X11 kaj HAS_NET estis efektivigitaj por kontroli la ĉeeston de X-servilo kaj retaliro.
- Aldonitaj profiloj por izolita aplikaĵlanĉo (la totala nombro da profiloj pliiĝis al 884):
- i2p,
- tor-retumilo (AUR),
- Zulip,
- rsync
- signal-cli
- tcpdump
- ciko,
- qgis
- OpenArena,
- godot,
- klatexformula,
- klatexformula_cmdl,
- ligiloj
- xlinks,
- pandoc
- teamoj-por-linukso,
- gnomo-sonregistrilo,
- newsbeuter,
- keepassxc-cli,
- keepassxc-proxy,
- rhythmbox-kliento,
- Jerry
- fervoro,
- mpg123,
- konplay,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- el123,
- mpg123-jack,
- mpg123-nas,
- mpg123-malferma,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-pulso,
- mpg123-strio,
- pavucontrol-qt,
- gnom-karakteroj,
- gnomo-karaktero-mapo,
- Balenbirdo
- tb-starter-envolvaĵo,
- bzcat,
- kiwix-skribotablo,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar,
- gnomo-latekso,
- pngquant
- kalgebro
- kalgebramobile,
- amulita
- ktrovi,
- profanaĵo
- sonregistrilo,
- kameramonitoro
- ddgtk
- drawio,
- unf,
- gmpc,
- elektron-poŝto,
- kerno
- gist-paste.
fonto: opennet.ru