De frijlitting fan it Firejail 0.9.72-projekt is publisearre, dy't in systeem ûntwikkelet foar isolearre útfiering fan grafyske, konsole- en serverapplikaasjes, wêrtroch it risiko fan kompromittearjen fan it haadsysteem kin minimalisearje by it útfieren fan ûnbetroubere of potinsjeel kwetsbere programma's. It programma is skreaun yn C, ferspraat ûnder de GPLv2-lisinsje en kin rinne op elke Linux-distribúsje mei in kernel âlder dan 3.0. Ready-made Firejail-pakketten wurde taret yn deb (Debian, Ubuntu) en rpm (CentOS, Fedora) formaten.
Foar isolaasje brûkt Firejail nammeromten, AppArmor, en systeemopropfiltering (seccomp-bpf) op Linux. Ienris lansearre brûke it programma en al syn bernprosessen aparte werjeften fan kernelboarnen, lykas de netwurkstapel, prosestabel en berchpunten. Tapassingen dy't fan elkoar ôfhinklik binne kinne wurde kombinearre yn ien mienskiplike sânbak. As jo wolle, kin Firejail ek brûkt wurde om Docker-, LXC- en OpenVZ-konteners út te fieren.
Oars as ark foar isolaasje fan konteners, is firejail ekstreem ienfâldich te konfigurearjen en fereasket de tarieding fan in systeemôfbylding net - de kontenerkomposysje wurdt op 'e flecht foarme op basis fan' e ynhâld fan it hjoeddeistige bestânsysteem en wurdt wiske neidat de applikaasje is foltôge. Fleksibele middels foar it ynstellen fan tagongsregels foar it bestânsysteem wurde levere; jo kinne bepale hokker bestannen en mappen tagong binne tastien of wegere, tydlike bestânsystemen (tmpfs) ferbine foar gegevens, tagong beheine ta bestannen of mappen om allinich te lêzen, mappen kombinearje fia bind-mount en overlays.
Foar in grut oantal populêre applikaasjes, ynklusyf Firefox, Chromium, VLC en Transmission, binne klearmakke systeemoprop-isolaasjeprofilen taret. Om de privileezjes te krijen dy't nedich binne om in sânbox-omjouwing yn te stellen, wurdt it útfierbere firejail ynstalleare mei de SUID-rootflagge (privileezjes wurde weromset nei inisjalisaasje). Om in programma út te fieren yn isolaasjemodus, spesifisearje gewoan de applikaasjenamme as argumint foar it firejail-hulpprogramma, bygelyks "firejail firefox" of "sudo firejail /etc/init.d/nginx start".
Yn de nije release:
- In seccomp-filter tafoege foar systeemoproppen dy't it oanmeitsjen fan nammeromten blokkearret (de opsje "--beheine-nammeromten" is tafoege om yn te skeakeljen). Updated systeem oprop tabellen en seccomp groepen.
- Ferbettere krêft-nonewprivs-modus (NO_NEW_PRIVS), dy't foarkomt dat nije prosessen ekstra privileezjes krije.
- De mooglikheid tafoege om jo eigen AppArmor-profilen te brûken (de opsje "--apparmor" wurdt oanbean foar ferbining).
- It nettrace-netwurkferkearfolgingsysteem, dat ynformaasje toant oer IP en ferkearsintensiteit fan elk adres, ymplementearret ICMP-stipe en biedt de opsjes "--dnstrace", "--icmptrace" en "--snitrace".
- De kommando --cgroup en --shell binne fuortsmiten (de standert is --shell=gjin). Firetunnel build wurdt standert stoppe. Utskeakele chroot, privee-lib en tracelog ynstellings yn /etc/firejail/firejail.config. grsecurity stipe is staakt.
Boarne: opennet.ru