projekti vabastamine , mille raames töötatakse välja süsteem graafiliste, konsooli- ja serverirakenduste isoleeritud täitmiseks. Firejaili kasutamine võimaldab minimeerida põhisüsteemi ohustamise ohtu ebausaldusväärsete või potentsiaalselt haavatavate programmide käitamisel. Programm on kirjutatud C-keeles, litsentsitud GPLv2 alusel ja võib töötada mis tahes Linuxi distributsioonis, mille kernel on vanem kui 3.0. Valmis paketid Firejailiga formaadis deb (Debian, Ubuntu) ja rpm (CentOS, Fedora).
Firejaili isoleerimiseks nimeruumid, AppArmor ja süsteemikõnede filtreerimine (seccomp-bpf) Linuxis. Pärast käivitamist kasutavad programm ja kõik selle alamprotsessid kerneli ressursside, näiteks võrgupinu, protsessitabeli ja ühenduspunktide eraldi vaateid. Üksteisest sõltuvaid rakendusi saab ühendada üheks ühiseks liivakastiks. Soovi korral saab Firejaili kasutada ka Dockeri, LXC ja OpenVZ konteinerite käitamiseks.
Erinevalt konteineri isolatsioonitööriistadest on tulejalgimine äärmiselt suur konfiguratsioonis ja ei nõua süsteemipildi ettevalmistamist - konteineri koostis moodustatakse jooksvalt praeguse failisüsteemi sisu põhjal ja kustutatakse pärast rakenduse valmimist. Failisüsteemile juurdepääsureeglite seadmiseks on saadaval paindlikud vahendid; saate määrata, millistele failidele ja kataloogidele juurdepääs on lubatud või keelatud, ühendada andmete jaoks ajutisi failisüsteeme (tmpfs), piirata juurdepääsu failidele või kataloogidele kirjutuskaitstuks, kombineerida katalooge sidumine ja ülekatted.
Paljude populaarsete rakenduste jaoks, sealhulgas Firefox, Chromium, VLC ja Transmission, valmis süsteemikõne isoleerimine. Programmi isolatsioonirežiimis käitamiseks määrake lihtsalt rakenduse nimi firejaili utiliidi argumendina, näiteks "firejail firefox" või "sudo firejail /etc/init.d/nginx start".
Uues väljaandes:
- Parandatud on haavatavus, mis võimaldab pahatahtlikul protsessil süsteemikõnede piiramise mehhanismist mööda minna. Haavatavuse olemus seisneb selles, et Seccompi filtrid kopeeritakse kataloogi /run/firejail/mnt, mis on isoleeritud keskkonnas kirjutatav. Eraldusrežiimis töötavad pahatahtlikud protsessid võivad neid faile muuta, mis põhjustab samas keskkonnas töötavate uute protsesside käivitamise ilma süsteemikõne filtrit rakendamata;
- Mälu keelamise-kirjutamise-käivitamise filter tagab, et kõne "memfd_create" on blokeeritud;
- Lisatud uus valik "private-cwd", et muuta vangla töökataloogi;
- Lisatud "--nodbus" valik D-Busi pesade blokeerimiseks;
- Tagastati CentOS 6 tugi;
- vormingutes pakettide tugi и .
et need paketid peaksid kasutama oma tööriistu; - Lisatud on uued profiilid 87 lisaprogrammi isoleerimiseks, sealhulgas mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-esitlused, freeoffice-tekstitegija, inkview, meteo-qt, ktouch, yelp ja kantaat.
Allikas: opennet.ru