Firejail 0.9.72 proiektuaren oharra argitaratu da, zeinak aplikazio grafiko, kontsola eta zerbitzarien exekuzio isolatu baterako sistema garatzen duena, fidagarriak ez diren edo ahul daitezkeen programak exekutatzen direnean sistema nagusia arriskuan jartzeko arriskua minimizatzeko aukera ematen duena. Programa C-n idatzita dago, GPLv2 lizentziapean banatuta eta 3.0 baino zaharragoa den nukleoa duen edozein Linux banaketatan exekutatu daiteke. Firejail prest egindako paketeak deb (Debian, Ubuntu) eta rpm (CentOS, Fedora) formatuetan prestatzen dira.
Isolatzeko, Firejail-ek izen-espazioak, AppArmor eta sistema-deien iragazketa (seccomp-bpf) erabiltzen ditu Linuxen. Abian jarri ondoren, programak eta bere prozesu seme guztiek nukleoko baliabideen ikuspegi bereiziak erabiltzen dituzte, hala nola sareko pila, prozesu-taula eta muntatze-puntuak. Elkarren menpe dauden aplikazioak sandbox komun batean konbina daitezke. Nahi izanez gero, Firejail Docker, LXC eta OpenVZ edukiontziak exekutatzeko ere erabil daiteke.
Edukiontzi isolatzeko tresnak ez bezala, firejail konfiguratzeko oso erraza da eta ez du sistemaren irudi bat prestatzea behar - edukiontziaren konposizioa hegan eratzen da uneko fitxategi-sistemaren edukietan oinarrituta eta aplikazioa amaitu ondoren ezabatzen da. Fitxategi-sistemarako sarbide-arauak ezartzeko bitarteko malguak eskaintzen dira; sarbide baimendu edo ukatu egiten zaien fitxategi eta direktorioei zehaz dezakezu, datuetarako aldi baterako fitxategi-sistemak (tmpfs) konektatu, fitxategi edo direktorioetarako sarbidea irakurtzeko soilik mugatu, direktorioa bidez konbinatu. bind-mount eta overlayfs.
Aplikazio ezagun askorentzat, Firefox, Chromium, VLC eta Transmission barne, prest dauden sistema-deiak isolatzeko profilak prestatu dira. Sandboxed ingurune bat konfiguratzeko beharrezkoak diren pribilegioak lortzeko, firejail exekutagarria SUID root banderarekin instalatzen da (pribilegioak hasieratu ondoren berrezartzen dira). Programa bat isolamendu moduan exekutatzeko, besterik gabe, zehaztu aplikazioaren izena firejail utilitatearen argumentu gisa, adibidez, "firejail firefox" edo "sudo firejail /etc/init.d/nginx start".
Argitalpen berrian:
- Izen-espazioak sortzea blokeatzen duen sistema-deietarako seccomp iragazkia gehitu da ("--restrict-namespaces" aukera gehitu da gaitzeko). Sistema-deien taulak eta seccomp taldeak eguneratuak.
- Force-nonewprivs modua hobetua (NO_NEW_PRIVS), prozesu berriei pribilegio gehigarriak lortzea eragozten diena.
- Zure AppArmor profilak erabiltzeko gaitasuna gehitu da ("--apparmor" aukera eskaintzen da konexiorako).
- Nettrace sareko trafikoaren jarraipen-sistemak, helbide bakoitzeko IP eta trafikoaren intentsitateari buruzko informazioa bistaratzen duena, ICMP euskarria ezartzen du eta "--dnstrace", "--icmptrace" eta "--snitrace" aukerak eskaintzen ditu.
- --cgroup eta --shell komandoak kendu dira (lehenetsia --shell=none da). Firetunnel eraikitzea lehenespenez gelditzen da. Chroot, private-lib eta tracelog ezarpenak desgaituta daude /etc/firejail/firejail.config-en. grsecurity laguntza eten egin da.
Iturria: opennet.ru