lanzamiento del proyecto , dentro del cual se está desarrollando un sistema para la ejecución aislada de aplicaciones gráficas, de consola y de servidor. El uso de Firejail le permite minimizar el riesgo de comprometer el sistema principal cuando ejecuta programas no confiables o potencialmente vulnerables. El programa está escrito en lenguaje C, Licenciado bajo GPLv2 y puede ejecutarse en cualquier distribución. Linux con un kernel anterior a la versión 3.0. Paquetes listos para usar con Firejail. en formatos deb (Debian, Ubuntu) y rpm (CentOS, Fedora).
Para aislamiento en Firejail espacios de nombres, AppArmor y filtrado de llamadas al sistema (seccomp-bpf) en Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
A diferencia de las herramientas de aislamiento de contenedores, firejail es extremadamente en la configuración y no requiere la preparación de una imagen del sistema: la composición del contenedor se forma sobre la marcha en función del contenido del sistema de archivos actual y se elimina una vez completada la aplicación. Se proporcionan medios flexibles para configurar reglas de acceso al sistema de archivos; puede determinar qué archivos y directorios tienen permitido o denegado el acceso, conectar sistemas de archivos temporales (tmpfs) para datos, limitar el acceso a archivos o directorios a solo lectura, combinar directorios a través de bind-mount y superposiciones.
Para una gran cantidad de aplicaciones populares, incluidas Firefox, Chromium, VLC y Transmission, listas para usar aislamiento de llamadas al sistema. Para ejecutar un programa en modo aislado, simplemente especifique el nombre de la aplicación como argumento para la utilidad firejail, por ejemplo, “firejail firefox” o “sudo firejail /etc/init.d/nginx start”.
En el nuevo lanzamiento:
- Se ha solucionado una vulnerabilidad que permite que un proceso malicioso eluda el mecanismo de restricción de llamadas del sistema. La esencia de la vulnerabilidad es que los filtros Seccomp se copian en el directorio /run/firejail/mnt, que se puede escribir dentro del entorno aislado. Los procesos maliciosos que se ejecutan en modo aislado pueden modificar estos archivos, lo que provocará que se ejecuten nuevos procesos que se ejecutan en el mismo entorno sin aplicar el filtro de llamadas del sistema;
- El filtro de denegación de memoria, escritura y ejecución garantiza que la llamada "memfd_create" esté bloqueada;
- Se agregó una nueva opción "private-cwd" para cambiar el directorio de trabajo de jail;
- Se agregó la opción "--nodbus" para bloquear los zócalos D-Bus;
- Soporte devuelto CentOS 6;
- soporte para paquetes en formatos и .
que estos paquetes deberían utilizar sus propias herramientas; - Se han agregado nuevos perfiles para aislar 87 programas adicionales, incluidos mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, varsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp y cantata.
Fuente: opennet.ru
