Kuuden kuukauden kehitystyön jälkeen projektin julkaisu , jossa kehitetään järjestelmää graafisten, konsoli- ja palvelinsovellusten erilliseen suorittamiseen. Firejailin avulla voit minimoida pääjärjestelmän vaarantumisen riskin, kun käytät epäluotettavia tai mahdollisesti haavoittuvia ohjelmia. Ohjelma on kirjoitettu C-kielellä, lisensoitu GPLv2:lla ja sitä voidaan käyttää missä tahansa Linux-jakelussa, jonka ydin on vanhempi kuin 3.0. Valmiit paketit Firejaililla deb (Debian, Ubuntu) ja rpm (CentOS, Fedora) -muodoissa.
Eristykseen Firejailissa nimitilat, AppArmor ja järjestelmäkutsusuodatus (seccomp-bpf) Linuxissa. Kun ohjelma on käynnistetty, kaikki sen aliprosessit käyttävät erillisiä näkymiä ydinresursseista, kuten verkkopinosta, prosessitaulukosta ja liitospisteistä. Toisistaan riippuvat sovellukset voidaan yhdistää yhdeksi yhteiseksi hiekkalaatikoksi. Haluttaessa Firejailia voidaan käyttää myös Docker-, LXC- ja OpenVZ-säilöjen ajamiseen.
Toisin kuin konttien eristystyökalut, palovankila on äärimmäinen kokoonpanossa eikä vaadi järjestelmäkuvan valmistelua - säilön koostumus muodostetaan lennossa nykyisen tiedostojärjestelmän sisällön perusteella ja poistetaan, kun sovellus on valmis. Saatavilla on joustavia tapoja asettaa tiedostojärjestelmän käyttöoikeussääntöjä; voit määrittää, mitkä tiedostot ja hakemistot ovat sallittuja tai evättyjä, yhdistää väliaikaisia tiedostojärjestelmiä (tmpfs) tiedoille, rajoittaa tiedostojen tai hakemistojen pääsyä vain luku -käyttöön, yhdistää hakemistoja sidoskiinnitys ja peittokuvat.
Monille suosituille sovelluksille, mukaan lukien Firefox, Chromium, VLC ja Transmission, valmiina järjestelmäpuhelun eristäminen. Sandbox-ympäristön määrittämiseen tarvittavien oikeuksien saamiseksi firejail-suoritettava tiedosto asennetaan SUID-juurilipun kanssa (oikeudet palautetaan alustuksen jälkeen). Jos haluat suorittaa ohjelman eristystilassa, määritä sovelluksen nimi argumentiksi firejail-apuohjelmalle, esimerkiksi "firejail firefox" tai "sudo firejail /etc/init.d/nginx start".
Uudessa julkaisussa:
- Määritystiedostossa /etc/firejail/firejail.config file-copy-limit -asetus, jonka avulla voit rajoittaa muistiin kopioitavien tiedostojen kokoa käytettäessä "--private-*"-vaihtoehtoja (oletusarvoisesti raja on 500 Mt).
- Mallit uusien sovellusrajoitusprofiilien luomiseksi on lisätty /usr/share/doc/firejail-hakemistoon.
- Profiilit mahdollistavat debuggerien käytön.
- Parannettu järjestelmäkutsujen suodatus seccomp-mekanismin avulla.
- Kääntäjän lippujen automaattinen tunnistus on säädetty.
- Chroot-kutsua ei enää tehdä polun perusteella, vaan käyttämällä liitospisteitä tiedostokuvaajan perusteella.
- /usr/share-hakemisto on sallittujen luettelossa useiden profiilien mukaan.
- Uusia apuohjelmia gdb-firejail.sh ja sort.py on lisätty conrib-osioon.
- Vahvistettu suojaus etuoikeutetun koodin (SUID) suoritusvaiheessa.
- Profiilien osalta uudet ehdolliset attribuutit HAS_X11 ja HAS_NET on otettu käyttöön X-palvelimen ja verkkoyhteyden olemassaolon tarkistamiseksi.
- Lisätyt profiilit yksittäisiä sovelluksia varten (profiilien kokonaismäärä nousi 884:ään):
- i2p,
- tor-selain (AUR),
- Zulip,
- rsync
- signaali-cli
- tcpdump
- tshark,
- qgis
- OpenArena,
- godot,
- klatexformula,
- klatexformula_cmdl,
- linkit,
- xlinkit,
- pandoc
- tiimit Linuxille,
- gnome-äänitallennin,
- newsbeuter,
- keepassxc-cli,
- Keepassxc-välityspalvelin,
- rytmbox-asiakas,
- Jerry
- innokkuus,
- mpg123,
- pelata,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- ulos 123,
- mpg123-liitin,
- mpg123-nas,
- mpg123-avoin,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-pulssi,
- mpg123-nauha,
- pavucontrol-qt,
- gnome-hahmot,
- gnome-hahmo-kartta,
- Valaslintu
- tb-starter-wrapper,
- bzcat,
- kiwix-työpöytä,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar
- gnome-lateksi,
- pngquant
- kalgebra
- kalgebramobile,
- huvittunut
- kfind,
- kirosanoja
- äänen tallennin,
- kameramonitori
- ddgtk
- drawio,
- unf,
- gmpc,
- sähköposti,
- ydin,
- ydin-tahna.
Lähde: opennet.ru