projekt release , wêryn in systeem ûntwikkele wurdt foar isolearre útfiering fan grafyske, konsole- en serverapplikaasjes. It brûken fan Firejail lit jo it risiko minimalisearje om it haadsysteem te kompromittearjen by it útfieren fan ûnbetroubere of potinsjeel kwetsbere programma's. It programma is skreaun yn C-taal, lisinsje ûnder GPLv2 en kin rinne op elke Linux-distribúsje mei in kernel âlder dan 3.0. Klear pakketten mei Firejail yn deb (Debian, Ubuntu) en rpm (CentOS, Fedora) formaten.
Foar isolemint yn Firejail nammeromten, AppArmor, en systeemopropfiltering (seccomp-bpf) yn Linux. Ienris lansearre brûke it programma en al syn bernprosessen aparte werjeften fan kernelboarnen, lykas de netwurkstapel, prosestabel en berchpunten. Tapassingen dy't fan elkoar ôfhinklik binne kinne wurde kombinearre yn ien mienskiplike sânbak. As jo wolle, kin Firejail ek brûkt wurde om Docker-, LXC- en OpenVZ-konteners út te fieren.
Oars as ark foar isolaasje fan konteners, is fjoerjail ekstreem yn 'e konfiguraasje en fereasket net de tarieding fan in systeemôfbylding - de kontenerkomposysje wurdt foarme op' e flecht basearre op 'e ynhâld fan it hjoeddeistige bestânsysteem en wurdt wiske nei't de applikaasje foltôge is. Fleksibele middels foar it ynstellen fan tagongsregels foar it bestânsysteem wurde levere; jo kinne bepale hokker bestannen en mappen tagong binne tastien of wegere, tydlike bestânsystemen (tmpfs) ferbine foar gegevens, tagong beheine ta bestannen of mappen om allinich te lêzen, mappen kombinearje fia bind-mount en overlays.
Foar in grut oantal populêre applikaasjes, ynklusyf Firefox, Chromium, VLC en Transmission, klear makke systeem call isolaasje. Om in programma út te fieren yn isolaasjemodus, spesifisearje gewoan de applikaasjenamme as argumint foar it firejail-hulpprogramma, bygelyks "firejail firefox" of "sudo firejail /etc/init.d/nginx start".
Yn de nije release:
- In kwetsberens wêrmei in kwea-aardich proses it systeemopropbeperkingsmeganisme kin omgean is fêst. De essinsje fan 'e kwetsberens is dat Seccomp-filters wurde kopiearre nei de map /run/firejail/mnt, dy't skriuwber is binnen de isolearre omjouwing. Kweaze prosessen dy't yn isolaasjemodus rinne kinne dizze bestannen wizigje, wêrtroch't nije prosessen dy't yn deselde omjouwing rinne, wurde útfierd sûnder it systeemopropfilter oan te passen;
- It filter foar ûnthâld-ûntkenning-skriuwe-útfiere soarget derfoar dat de oprop "memfd_create" blokkearre is;
- Nije opsje "privee-cwd" tafoege om de wurkmap foar finzenis te feroarjen;
- Added "--nodbus" opsje om D-Bus sockets te blokkearjen;
- Stipe weromjûn foar CentOS 6;
- stipe foar pakketten yn formaten и .
dat dizze pakketten har eigen ark moatte brûke; - Nije profilen binne tafoege om 87 ekstra programma's te isolearjen, ynklusyf mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presintaasjes, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp en kantate.
Boarne: opennet.ru