lancement du projet , au sein duquel un système est en cours de développement pour l'exécution isolée d'applications graphiques, de console et de serveur. L'utilisation de Firejail vous permet de minimiser le risque de compromettre le système principal lors de l'exécution de programmes non fiables ou potentiellement vulnérables. Le programme est écrit en langage C, sous licence GPLv2 et peut fonctionner sur n'importe quelle distribution Linux avec un noyau antérieur à 3.0. Packages prêts à l'emploi avec Firejail aux formats deb (Debian, Ubuntu) et rpm (CentOS, Fedora).
Pour l’isolement dans Firejail espaces de noms, AppArmor et filtrage des appels système (seccomp-bpf) sous Linux. Une fois lancés, le programme et tous ses processus enfants utilisent des vues distinctes des ressources du noyau, telles que la pile réseau, la table des processus et les points de montage. Les applications qui dépendent les unes des autres peuvent être combinées dans un bac à sable commun. Si vous le souhaitez, Firejail peut également être utilisé pour exécuter des conteneurs Docker, LXC et OpenVZ.
Contrairement aux outils d'isolation des conteneurs, la prison coupe-feu est extrêmement dans la configuration et ne nécessite pas la préparation d'une image système - la composition du conteneur est formée à la volée en fonction du contenu du système de fichiers actuel et est supprimée une fois l'application terminée. Des moyens flexibles de définition de règles d'accès au système de fichiers sont fournis ; vous pouvez déterminer quels fichiers et répertoires sont autorisés ou refusés, connecter des systèmes de fichiers temporaires (tmpfs) pour les données, limiter l'accès aux fichiers ou répertoires en lecture seule, combiner des répertoires via bind-mount et overlayfs.
Pour un grand nombre d'applications populaires, notamment Firefox, Chromium, VLC et Transmission, prêtes à l'emploi isolation des appels système. Pour exécuter un programme en mode isolation, spécifiez simplement le nom de l'application comme argument de l'utilitaire firejail, par exemple « firejail firefox » ou « sudo firejail /etc/init.d/nginx start ».
Dans la nouvelle version :
- Une vulnérabilité qui permet à un processus malveillant de contourner le mécanisme de restriction des appels système a été corrigée. L'essence de la vulnérabilité est que les filtres Seccomp sont copiés dans le répertoire /run/firejail/mnt, qui est accessible en écriture dans l'environnement isolé. Des processus malveillants exécutés en mode d'isolement peuvent modifier ces fichiers, ce qui entraînera l'exécution de nouveaux processus exécutés dans le même environnement sans appliquer le filtre d'appel système ;
- Le filtre memory-deny-write-execute garantit que l'appel « memfd_create » est bloqué ;
- Ajout d'une nouvelle option "private-cwd" pour changer le répertoire de travail de la prison ;
- Ajout de l'option "--nodbus" pour bloquer les sockets D-Bus ;
- Prise en charge renvoyée pour CentOS 6 ;
- prise en charge des packages dans les formats и .
que ces packages doivent utiliser leurs propres outils ; - De nouveaux profils ont été ajoutés pour isoler 87 programmes supplémentaires, notamment mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp et cantata.
Source: opennet.ru