Näki valon projektin julkaisu Firejail 0.9.60, jossa kehitetään järjestelmää graafisten, konsoli- ja palvelinsovellusten erilliseen suorittamiseen. Firejailin avulla voit minimoida pääjärjestelmän vaarantumisen riskin, kun käytät epäluotettavia tai mahdollisesti haavoittuvia ohjelmia. Ohjelma on kirjoitettu C-kielellä, jakelija lisensoitu GPLv2:lla ja sitä voidaan käyttää missä tahansa Linux-jakelussa, jonka ydin on vanhempi kuin 3.0. Valmiit paketit Firejaililla valmis deb (Debian, Ubuntu) ja rpm (CentOS, Fedora) -muodoissa.
Eristykseen Firejailissa käytetään nimitilat, AppArmor ja järjestelmäkutsusuodatus (seccomp-bpf) Linuxissa. Kun ohjelma on käynnistetty, kaikki sen aliprosessit käyttävät erillisiä näkymiä ytimen resursseista, kuten verkkopinosta, prosessitaulukosta ja liitospisteistä. Toisistaan riippuvat sovellukset voidaan yhdistää yhdeksi yhteiseksi hiekkalaatikoksi. Haluttaessa Firejailia voidaan käyttää myös Docker-, LXC- ja OpenVZ-säilöjen ajamiseen.
Toisin kuin konttien eristystyökalut, palovankila on äärimmäinen helppo kokoonpanossa eikä vaadi järjestelmäkuvan valmistelua - säilökoostumus muodostetaan lennossa nykyisen tiedostojärjestelmän sisällön perusteella ja poistetaan, kun sovellus on valmis. Tarjolla on joustavia tapoja asettaa tiedostojärjestelmän käyttöoikeussääntöjä; voit määrittää, mitkä tiedostot ja hakemistot ovat sallittuja tai evättyjä, yhdistää väliaikaisia tiedostojärjestelmiä (tmpfs) tiedoille, rajoittaa tiedostojen tai hakemistojen pääsyä vain luku -käyttöön, yhdistää hakemistoja sidoskiinnitys ja peittokuvat.
Monille suosituille sovelluksille, mukaan lukien Firefox, Chromium, VLC ja Transmission, valmiina профили järjestelmäpuhelun eristäminen. Jos haluat suorittaa ohjelman eristystilassa, määritä sovelluksen nimi argumentiksi firejail-apuohjelmalle, esimerkiksi "firejail firefox" tai "sudo firejail /etc/init.d/nginx start".
Uudessa julkaisussa:
Haavoittuvuus, joka sallii haitallisen prosessin ohittaa järjestelmäpuhelunrajoitusmekanismin, on korjattu. Haavoittuvuuden ydin on, että Seccomp-suodattimet kopioidaan /run/firejail/mnt-hakemistoon, johon voi kirjoittaa eristetyssä ympäristössä. Eristystilassa toimivat haitalliset prosessit voivat muokata näitä tiedostoja, mikä saa aikaan samassa ympäristössä olevien uusien prosessien suorittamisen ilman järjestelmäkutsusuodatinta.
Muistin esto-kirjoitus-suoritussuodatin varmistaa, että "memfd_create"-kutsu on estetty;
Lisätty uusi vaihtoehto "private-cwd" muuttaaksesi vankilan työhakemistoa;
Lisätty "--nodbus" -vaihtoehto D-Bus-liitäntöjen estämiseksi;