foillseachadh pròiseict , anns a bheil siostam ga leasachadh airson coileanadh iomallach de thagraidhean grafaigeach, tòcan agus frithealaiche. Le bhith a’ cleachdadh Firejail leigidh sin leat an cunnart bho bhith a’ dèanamh cron air a’ phrìomh shiostam a lughdachadh nuair a bhios tu a’ ruith prògraman neo-earbsach no a dh’ fhaodadh a bhith so-leònte. Tha am prògram sgrìobhte ann an cànan C, le cead fo GPLv2 agus faodaidh e ruith air cuairteachadh Linux sam bith le kernel nas sine na 3.0. Pacaidean deiseil le Firejail ann an cruthan deb (Debian, Ubuntu) agus rpm (CentOS, Fedora).
Airson aonaranachd ann an Firejail ainmean-àite, AppArmor, agus sìoladh gairm siostam (seccomp-bpf) ann an Linux. Nuair a thèid a chuir air bhog, bidh am prògram agus a phròiseasan cloinne gu lèir a’ cleachdadh seallaidhean eadar-dhealaichte de ghoireasan kernel, leithid stac an lìonraidh, clàr pròiseas, agus puingean sreap. Faodar tagraidhean a tha an urra ri chèile a chur còmhla ann an aon bhogsa gainmhich cumanta. Ma thogras tu, faodar Firejail a chleachdadh cuideachd gus soithichean Docker, LXC agus OpenVZ a ruith.
Eu-coltach ri innealan insulation container, tha firejail air leth anns an rèiteachadh agus chan eil feum air ìomhaigh siostam ullachadh - tha co-dhèanamh an t-soithich air a chruthachadh air a ’chuileag stèidhichte air susbaint an t-siostam faidhle gnàthach agus thèid a dhubhadh às às deidh an tagradh a chrìochnachadh. Tha dòighean sùbailte air an toirt seachad airson riaghailtean inntrigidh a shuidheachadh air an t-siostam fhaidhlichean; faodaidh tu faighinn a-mach dè na faidhlichean agus na clàran a tha ceadaichte no a tha ceadaichte faighinn a-steach, ceangail siostaman faidhle sealach (tmpfs) airson dàta, cuingealaich ruigsinneachd gu faidhlichean no clàran airson leughadh a-mhàin, cuir còmhla seòlaidhean tro ceangail-mount agus overlayfs.
Airson àireamh mhòr de thagraidhean mòr-chòrdte, nam measg Firefox, Chromium, VLC agus Transmission, deiseil iomallachd call siostam. Gus prògram a ruith ann am modh aonaranachd, dìreach sònraich ainm an tagraidh mar argamaid don ghoireas firejail, mar eisimpleir, “firejail firefox” no “sudo firejail /etc/init.d/nginx start”.
Anns an fhoillseachadh ùr:
- Chaidh so-leòntachd a leigeas le pròiseas droch-rùnach a dhol seachad air uidheamachd casg gairm an t-siostaim. Is e brìgh an so-leòntachd gu bheil sìoltachain Seccomp air an leth-bhreac don eòlaire / run / firejail / mnt, a ghabhas sgrìobhadh taobh a-staigh na h-àrainneachd iomallach. Faodaidh pròiseasan droch-rùnach a tha a’ ruith ann am modh aonaranachd na faidhlichean sin atharrachadh, a bheir air pròiseasan ùra a tha a’ ruith san aon àrainneachd a bhith air an cur an gnìomh gun a bhith a’ cleachdadh sìoltachan gairm an t-siostaim;
- Bidh an sìoltachan cuimhne-diùltadh-sgrìobhaidh-gnìomh a’ dèanamh cinnteach gu bheil an gairm “memfd_create” air a bhacadh;
- Chaidh roghainn ùr a chur ris “private-cwd” gus an eòlaire obrach airson prìosan atharrachadh;
- Chaidh roghainn “--nodbus” a chuir ris gus socaidean D-Bus a bhacadh;
- Taic air ais airson CentOS 6;
- taic airson pacaidean ann an cruthan и .
gum bu chòir dha na pacaidean sin na h-innealan aca fhèin a chleachdadh; - Chaidh pròifilean ùra a chur ris gus 87 prògraman a bharrachd a sgaradh, a’ gabhail a-steach mypaint, nano, xfce4-mixer, gnome-keyring, redshift, manaidsear cruth-clò, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-taisbeanadh, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp agus cantata.
Source: fosgailtenet.ru