lanzamiento del proyecto , dentro del cual se está desarrollando un sistema para la ejecución aislada de aplicaciones gráficas, de consola y de servidor. El uso de Firejail le permite minimizar el riesgo de comprometer el sistema principal cuando ejecuta programas no confiables o potencialmente vulnerables. El programa está escrito en lenguaje C, Tiene licencia GPLv2 y puede ejecutarse en cualquier distribución de Linux con un kernel anterior a 3.0. Paquetes listos para usar con Firejail en formatos deb (Debian, Ubuntu) y rpm (CentOS, Fedora).
Para aislamiento en Firejail espacios de nombres, AppArmor y filtrado de llamadas al sistema (seccomp-bpf) en Linux. Una vez iniciado, el programa y todos sus procesos secundarios utilizan vistas separadas de los recursos del kernel, como la pila de red, la tabla de procesos y los puntos de montaje. Las aplicaciones que dependen entre sí se pueden combinar en un entorno limitado común. Si lo desea, Firejail también se puede utilizar para ejecutar contenedores Docker, LXC y OpenVZ.
A diferencia de las herramientas de aislamiento de contenedores, firejail es extremadamente en la configuración y no requiere la preparación de una imagen del sistema: la composición del contenedor se forma sobre la marcha en función del contenido del sistema de archivos actual y se elimina una vez completada la aplicación. Se proporcionan medios flexibles para configurar reglas de acceso al sistema de archivos; puede determinar qué archivos y directorios tienen permitido o denegado el acceso, conectar sistemas de archivos temporales (tmpfs) para datos, limitar el acceso a archivos o directorios a solo lectura, combinar directorios a través de bind-mount y superposiciones.
Para una gran cantidad de aplicaciones populares, incluidas Firefox, Chromium, VLC y Transmission, listas para usar aislamiento de llamadas al sistema. Para ejecutar un programa en modo aislado, simplemente especifique el nombre de la aplicación como argumento para la utilidad firejail, por ejemplo, “firejail firefox” o “sudo firejail /etc/init.d/nginx start”.
En el nuevo lanzamiento:
- Se ha solucionado una vulnerabilidad que permite que un proceso malicioso eluda el mecanismo de restricción de llamadas del sistema. La esencia de la vulnerabilidad es que los filtros Seccomp se copian en el directorio /run/firejail/mnt, que se puede escribir dentro del entorno aislado. Los procesos maliciosos que se ejecutan en modo aislado pueden modificar estos archivos, lo que provocará que se ejecuten nuevos procesos que se ejecutan en el mismo entorno sin aplicar el filtro de llamadas del sistema;
- El filtro de denegación de memoria, escritura y ejecución garantiza que la llamada "memfd_create" esté bloqueada;
- Se agregó una nueva opción "private-cwd" para cambiar el directorio de trabajo de jail;
- Se agregó la opción "--nodbus" para bloquear los zócalos D-Bus;
- Soporte devuelto para CentOS 6;
- soporte para paquetes en formatos и .
que estos paquetes deberían utilizar sus propias herramientas; - Se han agregado nuevos perfiles para aislar 87 programas adicionales, incluidos mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, varsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp y cantata.
Fuente: opennet.ru