ProHoster > Blog > actualités internet > Version d'isolation d'application Firejail 0.9.62

Version d'isolation d'application Firejail 0.9.62

Après six mois de développement est disponible lancement du projet Prison de feu 0.9.62, au sein duquel un système est en cours de développement pour l'exécution isolée d'applications graphiques, de console et de serveur. L'utilisation de Firejail vous permet de minimiser le risque de compromettre le système principal lors de l'exécution de programmes non fiables ou potentiellement vulnérables. Le programme est écrit en langage C, distribué par sous licence GPLv2 et peut fonctionner sur n'importe quelle distribution Linux avec un noyau antérieur à 3.0. Packages prêts à l'emploi avec Firejail préparé aux formats deb (Debian, Ubuntu) et rpm (CentOS, Fedora).

Pour l’isolement dans Firejail используются espaces de noms, AppArmor et filtrage des appels système (seccomp-bpf) sous Linux. Une fois lancés, le programme et tous ses processus enfants utilisent des vues distinctes des ressources du noyau, telles que la pile réseau, la table des processus et les points de montage. Les applications qui dépendent les unes des autres peuvent être combinées dans un bac à sable commun. Si vous le souhaitez, Firejail peut également être utilisé pour exécuter des conteneurs Docker, LXC et OpenVZ.

Contrairement aux outils d'isolation des conteneurs, la prison coupe-feu est extrêmement simple dans la configuration et ne nécessite pas la préparation d'une image système - la composition du conteneur est formée à la volée en fonction du contenu du système de fichiers actuel et est supprimée une fois l'application terminée. Des moyens flexibles de définition de règles d'accès au système de fichiers sont fournis ; vous pouvez déterminer quels fichiers et répertoires sont autorisés ou refusés, connecter des systèmes de fichiers temporaires (tmpfs) pour les données, limiter l'accès aux fichiers ou répertoires en lecture seule, combiner des répertoires via bind-mount et overlayfs.

Pour un grand nombre d'applications populaires, notamment Firefox, Chromium, VLC et Transmission, prêtes à l'emploi Les profils isolation des appels système. Pour obtenir les privilèges nécessaires à la mise en place d'un environnement sandbox, l'exécutable firejail est installé avec le flag root SUID (les privilèges sont réinitialisés après initialisation). Pour exécuter un programme en mode isolation, spécifiez simplement le nom de l'application comme argument de l'utilitaire firejail, par exemple « firejail firefox » ou « sudo firejail /etc/init.d/nginx start ».

Dans la nouvelle version :

  • Dans le fichier de configuration /etc/firejail/firejail.config ajoutée paramètre file-copy-limit, qui vous permet de limiter la taille des fichiers qui seront copiés en mémoire lors de l'utilisation des options « --private-* » (par défaut, la limite est fixée à 500 Mo).
  • Des modèles permettant de créer de nouveaux profils de restriction d'application ont été ajoutés au répertoire /usr/share/doc/firejail.
  • Les profils permettent l'utilisation de débogueurs.
  • Filtrage amélioré des appels système à l'aide du mécanisme seccomp.
  • La détection automatique des indicateurs du compilateur est fournie.
  • L'appel chroot n'est plus effectué en fonction du chemin, mais en utilisant des points de montage basés sur le descripteur de fichier.
  • Le répertoire /usr/share est ajouté à la liste blanche de divers profils.
  • De nouveaux scripts d'assistance gdb-firejail.sh et sort.py ont été ajoutés à la section conrib.
  • Protection renforcée au stade de l’exécution du code privilégié (SUID).
  • Pour les profils, de nouveaux attributs conditionnels HAS_X11 et HAS_NET ont été implémentés pour vérifier la présence d'un serveur X et l'accès au réseau.
  • Ajout de profils pour le lancement d'applications isolées (le nombre total de profils est passé à 884) :
    • i2p,
    • navigateur tor (AUR),
    • Zulip,
    • rsync
    • signal-cli
    • tcpdump
    • requin,
    • qgis
    • OpenArena,
    • godot,
    • formule klatex,
    • klatexformula_cmdl,
    • liens,
    • liens x,
    • pandoc
    • équipes-pour-linux,
    • gnome-enregistreur de sons,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • client-rythmbox,
    • jerry
    • zèle,
    • mpg123,
    • jouer,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • sur123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-impulsion,
    • mpg123-bande,
    • pavucontrol-qt,
    • personnages gnomes,
    • carte des personnages gnome,
    • Baleine
    • tb-starter-wrapper,
    • bzcat,
    • kiwix-bureau,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • sans zstd,
    • zstdmt,
    • débloqué,
    • ar
    • gnome-latex,
    • pngquant
    • calgèbre
    • kalgébramobile,
    • amusé
    • trouver,
    • impiété
    • enregistreur audio,
    • caméramoniteur
    • ddgtk
    • dessinio,
    • unf,
    • gmpc,
    • courrier électronique,
    • essentiel
    • l'essentiel est la pâte.

Source: opennet.ru

Ajouter un commentaire