Avaldatud on Firejail 0.9.72 projekti väljalase, mis arendab süsteemi graafiliste, konsooli- ja serverirakenduste isoleeritud täitmiseks, võimaldades minimeerida riski ohustada põhisüsteemi ebausaldusväärsete või potentsiaalselt haavatavate programmide käitamisel. Programm on kirjutatud C-keeles, levitatakse GPLv2 litsentsi all ja võib töötada mis tahes Linuxi distributsioonis, mille kernel on vanem kui 3.0. Valmis Firejaili paketid valmistatakse deb (Debian, Ubuntu) ja rpm (CentOS, Fedora) vormingus.
Eraldamiseks kasutab Firejail Linuxis nimeruume, AppArmori ja süsteemikõnede filtreerimist (seccomp-bpf). Pärast käivitamist kasutavad programm ja kõik selle alamprotsessid kerneli ressursside, näiteks võrgupinu, protsessitabeli ja ühenduspunktide eraldi vaateid. Üksteisest sõltuvaid rakendusi saab ühendada üheks ühiseks liivakastiks. Soovi korral saab Firejaili kasutada ka Dockeri, LXC ja OpenVZ konteinerite käitamiseks.
Erinevalt konteineri eraldamise tööriistadest on firejail äärmiselt lihtne seadistada ja see ei nõua süsteemi kujutise ettevalmistamist – konteineri koostis moodustatakse jooksvalt praeguse failisüsteemi sisu põhjal ja kustutatakse pärast rakenduse valmimist. Failisüsteemile juurdepääsureeglite seadmiseks on saadaval paindlikud vahendid; saate määrata, millistele failidele ja kataloogidele juurdepääs on lubatud või keelatud, ühendada andmete jaoks ajutisi failisüsteeme (tmpfs), piirata juurdepääsu failidele või kataloogidele kirjutuskaitstuks, kombineerida katalooge sidumine ja ülekatted.
Paljude populaarsete rakenduste jaoks, sealhulgas Firefox, Chromium, VLC ja Transmission, on koostatud valmis süsteemikõnede isolatsiooniprofiilid. Liivakastikeskkonna seadistamiseks vajalike õiguste saamiseks installitakse käivitatav Firejail koos SUID-i juurlipuga (õigused lähtestatakse pärast lähtestamist). Programmi isolatsioonirežiimis käitamiseks määrake lihtsalt rakenduse nimi firejaili utiliidi argumendina, näiteks "firejail firefox" või "sudo firejail /etc/init.d/nginx start".
Uues väljaandes:
- Süsteemikõnede jaoks on lisatud seccomp-filter, mis blokeerib nimeruumide loomise (lubamiseks on lisatud valik "--restrict-namespaces"). Uuendatud süsteemikõnede tabelid ja seccomp-rühmad.
- Täiustatud force-nonewprivs režiim (NO_NEW_PRIVS), mis takistab uutel protsessidel lisaõigusi omandamast.
- Lisatud on võimalus kasutada oma AppArmor profiile (ühendamiseks pakutakse valikut "--apparmor".
- Võrguliikluse jälgimise süsteem nettrace, mis kuvab teavet IP ja liikluse intensiivsuse kohta igalt aadressilt, rakendab ICMP tuge ja pakub suvandeid "--dnstrace", "--icmptrace" ja "--snitrace".
- Käsud --cgroup ja --shell on eemaldatud (vaikimisi on --shell=none). Firetunneli ehitamine on vaikimisi peatatud. Keelatud chroot-, privaat-libi ja tracelogi sätted failis /etc/firejail/firejail.config. grsecurity tugi on lõpetatud.
Allikas: opennet.ru