Chaidh foillseachadh a’ phròiseict Firejail 0.9.72 fhoillseachadh, a leasaicheas siostam airson coileanadh iomallach de thagraidhean grafaigeach, tòcan agus frithealaiche, a’ ceadachadh an cunnart bho bhith a’ dèanamh cron air a’ phrìomh shiostam a lughdachadh nuair a bhios tu a’ ruith prògraman neo-earbsach no a dh’ fhaodadh a bhith so-leònte. Tha am prògram sgrìobhte ann an C, air a chuairteachadh fo chead GPLv2 agus faodaidh e ruith air cuairteachadh Linux sam bith le kernel nas sine na 3.0. Tha pasganan Firejail deiseil air an ullachadh ann an cruthan deb (Debian, Ubuntu) agus rpm (CentOS, Fedora).
Airson aonaranachd, bidh Firejail a’ cleachdadh ainmean-àite, AppArmor, agus sìoladh gairm siostam (seccomp-bpf) air Linux. Nuair a thèid a chuir air bhog, bidh am prògram agus a phròiseasan cloinne gu lèir a’ cleachdadh seallaidhean eadar-dhealaichte de ghoireasan kernel, leithid stac an lìonraidh, clàr pròiseas, agus puingean sreap. Faodar tagraidhean a tha an urra ri chèile a chur còmhla ann an aon bhogsa gainmhich cumanta. Ma thogras tu, faodar Firejail a chleachdadh cuideachd gus soithichean Docker, LXC agus OpenVZ a ruith.
Eu-coltach ri innealan aonaranachd container, tha firejail gu math sìmplidh a rèiteachadh agus chan eil feum air ìomhaigh siostam ullachadh - tha co-dhèanamh an t-soithich air a chruthachadh air a ’chuileag stèidhichte air susbaint an t-siostam faidhle gnàthach agus thèid a dhubhadh às às deidh an tagradh a chrìochnachadh. Tha dòighean sùbailte air an toirt seachad airson riaghailtean inntrigidh a shuidheachadh air an t-siostam fhaidhlichean; faodaidh tu faighinn a-mach dè na faidhlichean agus na clàran a tha ceadaichte no a tha ceadaichte faighinn a-steach, ceangail siostaman faidhle sealach (tmpfs) airson dàta, cuingealaich ruigsinneachd gu faidhlichean no clàran airson leughadh a-mhàin, cuir còmhla seòlaidhean tro ceangail-mount agus overlayfs.
Airson àireamh mhòr de thagraidhean mòr-chòrdte, a’ toirt a-steach Firefox, Chromium, VLC agus Transmission, chaidh pròifilean aonaranachd gairm siostam deiseil ullachadh. Gus na sochairean fhaighinn a tha riatanach gus àrainneachd bogsa gainmhich a stèidheachadh, tha an gnìomh prìosan-teine air a chuir a-steach le bratach freumh SUID (tha sochairean air an ath-shuidheachadh às deidh an tòiseachadh). Gus prògram a ruith ann am modh aonaranachd, dìreach sònraich ainm an tagraidh mar argamaid don ghoireas firejail, mar eisimpleir, “firejail firefox” no “sudo firejail /etc/init.d/nginx start”.
Anns an fhoillseachadh ùr:
- Chaidh sìoltachan seccomp a chuir ris airson fiosan siostaim a chuireas casg air cruthachadh àiteachan ainmean (chaidh an roghainn “--restrict-namespaces” a chuir ris gus a chomasachadh). Clàran gairm siostam ùrachadh agus buidhnean seccomp.
- Modh feachd-nonewprivs nas fheàrr (NO_NEW_PRIVS), a chuireas casg air pròiseasan ùra bho bhith a’ faighinn sochairean a bharrachd.
- Chuir sinn ris a’ chomas na pròifilean AppArmor agad fhèin a chleachdadh (tha an roghainn “--apparmor” air a thabhann airson ceangal).
- Bidh an siostam tracadh trafaic lìonra nettrace, a tha a’ taisbeanadh fiosrachadh mu IP agus dian trafaic bho gach seòladh, a’ cur an gnìomh taic ICMP agus a’ tabhann na roghainnean “--dnstrace”, “--icmptrace” agus “--snitrace”.
- Chaidh na h-òrdughan --cgroup agus --shell a thoirt air falbh (is e am bunait --shell = gin). Thèid stad a chuir air togail firetunnel gu bunaiteach. Roghainnean chroot ciorramach, prìobhaideach-lib agus tracelog ann an /etc/firejail/firejail.config. tha taic grsecurity air a stad.
Source: fosgailtenet.ru