ProHoster > Blog > noticias de internet > Versión de aislamiento de aplicaciones de Firejail 0.9.62

Versión de aislamiento de aplicaciones de Firejail 0.9.62

Después de seis meses de desarrollo esta disponible lanzamiento del proyecto Cárcel de fuego 0.9.62, dentro del cual se está desarrollando un sistema para la ejecución aislada de aplicaciones gráficas, de consola y de servidor. El uso de Firejail le permite minimizar el riesgo de comprometer el sistema principal cuando ejecuta programas no confiables o potencialmente vulnerables. El programa está escrito en lenguaje C, distribuido por Tiene licencia GPLv2 y puede ejecutarse en cualquier distribución de Linux con un kernel anterior a 3.0. Paquetes listos para usar con Firejail preparado en formatos deb (Debian, Ubuntu) y rpm (CentOS, Fedora).

Para aislamiento en Firejail son usados espacios de nombres, AppArmor y filtrado de llamadas al sistema (seccomp-bpf) en Linux. Una vez iniciado, el programa y todos sus procesos secundarios utilizan vistas separadas de los recursos del kernel, como la pila de red, la tabla de procesos y los puntos de montaje. Las aplicaciones que dependen entre sí se pueden combinar en un entorno limitado común. Si lo desea, Firejail también se puede utilizar para ejecutar contenedores Docker, LXC y OpenVZ.

A diferencia de las herramientas de aislamiento de contenedores, firejail es extremadamente simple en la configuración y no requiere la preparación de una imagen del sistema: la composición del contenedor se forma sobre la marcha en función del contenido del sistema de archivos actual y se elimina una vez completada la aplicación. Se proporcionan medios flexibles para configurar reglas de acceso al sistema de archivos; puede determinar qué archivos y directorios tienen permitido o denegado el acceso, conectar sistemas de archivos temporales (tmpfs) para datos, limitar el acceso a archivos o directorios a solo lectura, combinar directorios a través de bind-mount y superposiciones.

Para una gran cantidad de aplicaciones populares, incluidas Firefox, Chromium, VLC y Transmission, listas para usar Perfiles aislamiento de llamadas al sistema. Para obtener los privilegios necesarios para configurar un entorno de espacio aislado, el ejecutable de Firejail se instala con el indicador raíz SUID (los privilegios se restablecen después de la inicialización). Para ejecutar un programa en modo aislado, simplemente especifique el nombre de la aplicación como argumento para la utilidad firejail, por ejemplo, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".

En el nuevo lanzamiento:

  • En el archivo de configuración /etc/firejail/firejail.config agregado configuración de límite de copia de archivos, que le permite limitar el tamaño de los archivos que se copiarán en la memoria cuando se utilizan las opciones “--private-*” (de forma predeterminada, el límite está establecido en 500 MB).
  • Se agregaron plantillas para crear nuevos perfiles de restricción de aplicaciones al directorio /usr/share/doc/firejail.
  • Los perfiles permiten el uso de depuradores.
  • Filtrado mejorado de llamadas al sistema utilizando el mecanismo seccomp.
  • Se proporciona detección automática de indicadores del compilador.
  • La llamada a chroot ya no se realiza en función de la ruta, sino que utiliza puntos de montaje basados ​​en el descriptor del archivo.
  • El directorio /usr/share está incluido en la lista blanca de varios perfiles.
  • Se agregaron nuevos scripts auxiliares gdb-firejail.sh y sort.py a la sección conrib.
  • Protección reforzada en la etapa de ejecución de código privilegiado (SUID).
  • Para los perfiles, se han implementado nuevos atributos condicionales HAS_X11 y HAS_NET para verificar la presencia de un servidor X y el acceso a la red.
  • Perfiles agregados para el inicio de aplicaciones aisladas (el número total de perfiles aumentó a 884):
    • i2p,
    • navegador tor (AUR),
    • Zulip,
    • sincronización
    • señal-cli
    • tcpdump
    • tiburón,
    • qgis
    • arena abierta,
    • dios,
    • fórmula klatex,
    • klatexformula_cmdl,
    • campo de golf,
    • enlaces x,
    • pandoc
    • equipos-para-linux,
    • grabadora-de-sonidos-gnomo,
    • periodista,
    • keepassxc-cli,
    • proxy keepassxc,
    • cliente de Rhythmbox,
    • alemán
    • celo,
    • mpg123,
    • jugar,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • fuera123,
    • conector mpg123,
    • mpg123-nas,
    • mpg123-abierto,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulso,
    • mpg123-tira,
    • pavucontrol-qt,
    • personajes-gnomos,
    • mapa-de-personajes-gnome,
    • pájaro ballena
    • tb-arranque-envoltorio,
    • bzcat,
    • escritorio kiwix,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • sin zstd,
    • zstdmt,
    • desensamblado,
    • ar,
    • gnomo-látex,
    • pngcuanto
    • calgebra
    • calgebramóvil,
    • amulado
    • encontrar,
    • blasfemia,
    • Grabadora de audio,
    • monitor de cámara
    • ddgtk
    • dibujo,
    • unf,
    • gmpc,
    • correo electrónico,
    • esencia,
    • pasta esencial.

Fuente: opennet.ru

Añadir un comentario