proiektuaren kaleratzea , zeinaren barruan aplikazio grafiko, kontsola eta zerbitzarien exekuzio isolatu baterako sistema bat garatzen ari da. Firejail erabiltzeak sistema nagusia arriskuan jartzeko arriskua gutxitzeko aukera ematen du fidagarriak ez diren edo ahul daitezkeen programak exekutatzen direnean. Programa C hizkuntzan idatzita dago, GPLv2 lizentziapean dago eta 3.0 baino zaharragoa den nukleoa duen edozein Linux banaketatan exekutatu daiteke. Firejail-ekin prest dauden paketeak deb (Debian, Ubuntu) eta rpm (CentOS, Fedora) formatuetan.
Firejail-en isolatzeko izen-espazioak, AppArmor eta sistema-deien iragazketa (seccomp-bpf) Linux-en. Abian jarri ondoren, programak eta bere prozesu seme guztiek nukleoko baliabideen ikuspegi bereiziak erabiltzen dituzte, hala nola sareko pila, prozesu-taula eta muntatze-puntuak. Elkarren menpe dauden aplikazioak sandbox komun batean konbina daitezke. Nahi izanez gero, Firejail Docker, LXC eta OpenVZ edukiontziak exekutatzeko ere erabil daiteke.
Edukiontzi isolatzeko tresnak ez bezala, firejail izugarria da konfigurazioan eta ez du sistemaren irudi bat prestatzea eskatzen - edukiontziaren konposizioa hegan egiten da uneko fitxategi-sistemaren edukietan oinarrituta eta aplikazioa amaitu ondoren ezabatzen da. Fitxategi-sistemarako sarbide-arauak ezartzeko bitarteko malguak eskaintzen dira; sarbide baimendu edo ukatu egiten zaien fitxategi eta direktorioei zehaz dezakezu, datuetarako aldi baterako fitxategi-sistemak (tmpfs) konektatu, fitxategi edo direktorioetarako sarbidea irakurtzeko soilik mugatu, direktorioa bidez konbinatu. bind-mount eta overlayfs.
Aplikazio ezagun askorentzat, Firefox, Chromium, VLC eta Transmission barne, prest egindakoak sistema deien isolamendua. Programa bat isolamendu moduan exekutatzeko, besterik gabe, zehaztu aplikazioaren izena firejail utilitatearen argumentu gisa, adibidez, "firejail firefox" edo "sudo firejail /etc/init.d/nginx start".
Argitalpen berrian:
- Prozesu maltzur bati sistemaren deiak murrizteko mekanismoa saihesteko aukera ematen duen ahultasun bat konpondu da. Ahultasunaren funtsa da Seccomp iragazkiak /run/firejail/mnt direktorioan kopiatzen direla, ingurune isolatuan idazteko modukoa. Isolamendu moduan exekutatzen ari diren prozesu gaiztoek fitxategi hauek alda ditzakete, eta horrek ingurune berean exekutatzen diren prozesu berriak exekutatuko ditu sistema-deien iragazkia aplikatu gabe;
- Memoria-ukatu-idatzi-exekutatu iragazkiak "memfd_create" deia blokeatuta dagoela ziurtatzen du;
- "private-cwd" aukera berria gehitu da kartzelarako lan-direktorioa aldatzeko;
- "--nodbus" aukera gehitu da D-Bus entxufeak blokeatzeko;
- CentOS 6rako laguntza itzuli da;
- formatuetako paketeetarako laguntza ΠΈ .
pakete horiek beren tresnak erabili behar dituztela; - Profil berriak gehitu dira 87 programa gehigarri isolatzeko, besteak beste, mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp eta cantata.
Iturria: opennet.ru