projektin julkaisu , jossa kehitetään järjestelmää graafisten, konsoli- ja palvelinsovellusten erilliseen suorittamiseen. Firejailin avulla voit minimoida pääjärjestelmän vaarantumisen riskin, kun käytät epäluotettavia tai mahdollisesti haavoittuvia ohjelmia. Ohjelma on kirjoitettu C-kielellä, lisensoitu GPLv2:lla ja sitä voidaan käyttää missä tahansa Linux-jakelussa, jonka ydin on vanhempi kuin 3.0. Valmiit paketit Firejaililla deb (Debian, Ubuntu) ja rpm (CentOS, Fedora) -muodoissa.
Eristykseen Firejailissa nimitilat, AppArmor ja järjestelmäkutsusuodatus (seccomp-bpf) Linuxissa. Kun ohjelma on käynnistetty, kaikki sen aliprosessit käyttävät erillisiä näkymiä ytimen resursseista, kuten verkkopinosta, prosessitaulukosta ja liitospisteistä. Toisistaan riippuvat sovellukset voidaan yhdistää yhdeksi yhteiseksi hiekkalaatikoksi. Haluttaessa Firejailia voidaan käyttää myös Docker-, LXC- ja OpenVZ-säilöjen ajamiseen.
Toisin kuin konttien eristystyökalut, palovankila on äärimmäinen kokoonpanossa eikä vaadi järjestelmäkuvan valmistelua - säilökoostumus muodostetaan lennossa nykyisen tiedostojärjestelmän sisällön perusteella ja poistetaan, kun sovellus on valmis. Tarjolla on joustavia tapoja asettaa tiedostojärjestelmän käyttöoikeussääntöjä; voit määrittää, mitkä tiedostot ja hakemistot ovat sallittuja tai evättyjä, yhdistää väliaikaisia tiedostojärjestelmiä (tmpfs) tiedoille, rajoittaa tiedostojen tai hakemistojen pääsyä vain luku -käyttöön, yhdistää hakemistoja sidoskiinnitys ja peittokuvat.
Monille suosituille sovelluksille, mukaan lukien Firefox, Chromium, VLC ja Transmission, valmiina järjestelmäpuhelun eristäminen. Jos haluat suorittaa ohjelman eristystilassa, määritä sovelluksen nimi argumentiksi firejail-apuohjelmalle, esimerkiksi "firejail firefox" tai "sudo firejail /etc/init.d/nginx start".
Uudessa julkaisussa:
- Haavoittuvuus, joka sallii haitallisen prosessin ohittaa järjestelmäpuhelunrajoitusmekanismin, on korjattu. Haavoittuvuuden ydin on, että Seccomp-suodattimet kopioidaan /run/firejail/mnt-hakemistoon, johon voi kirjoittaa eristetyssä ympäristössä. Eristystilassa toimivat haitalliset prosessit voivat muokata näitä tiedostoja, mikä saa aikaan samassa ympäristössä olevien uusien prosessien suorittamisen ilman järjestelmäkutsusuodatinta.
- Muistin esto-kirjoitus-suoritussuodatin varmistaa, että "memfd_create"-kutsu on estetty;
- Lisätty uusi vaihtoehto "private-cwd" muuttaaksesi vankilan työhakemistoa;
- Lisätty "--nodbus" -vaihtoehto D-Bus-liitäntöjen estämiseksi;
- Palautettu tuki CentOS 6:lle;
- muodoissa olevien pakettien tuki и .
että näissä paketeissa olisi käytettävä omia työkalujaan; - Uusia profiileja on lisätty eristämään 87 lisäohjelmaa, mukaan lukien mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ja kantaatti.
Lähde: opennet.ru