ProHoster > Blog > noticias de internet > Versión de illamento da aplicación Firejail 0.9.62

Versión de illamento da aplicación Firejail 0.9.62

Despois de seis meses de desenvolvemento dispoñible lanzamento do proxecto Firejail 0.9.62, dentro do cal se está a desenvolver un sistema para a execución illada de aplicacións gráficas, de consola e de servidor. Usar Firejail permítelle minimizar o risco de comprometer o sistema principal cando se executan programas pouco fiables ou potencialmente vulnerables. O programa está escrito en linguaxe C, distribuído por licenciado baixo GPLv2 e pode executarse en calquera distribución Linux cun kernel anterior á versión 3.0. Paquetes predefinidos con Firejail preparado en formatos deb (Debian, Ubuntu) e rpm (CentOS, Fedora).

Para o illamento en Firejail úsanse espazos de nomes, AppArmor e filtrado de chamadas do sistema (seccomp-bpf) en LinuxUnha vez iniciado, un programa e todos os seus procesos fillos usan representacións separadas dos recursos do kernel, como a pila de rede, a táboa de procesos e os puntos de montaxe. As aplicacións interdependentes pódense combinar nunha única zona de probas compartida. Firejail tamén se pode usar para executar contedores Docker, LXC e OpenVZ.

A diferenza das ferramentas de illamento de contedores, o firejail é extremadamente simple A configuración non require a preparación dunha imaxe do sistema: o contido do contedor xérase sobre a marcha en función do contido do sistema de ficheiros actual e elimínase despois de que a aplicación remate. Ofrécense regras flexibles de acceso ao sistema de ficheiros, que che permiten definir a que ficheiros e directorios se lles permite ou denega o acceso, montar sistemas de ficheiros temporais (tmpfs) para datos, restrinxir o acceso a ficheiros ou directorios a só lectura e combinar directorios mediante bind-mount e overlayfs.

Para un gran número de aplicacións populares, incluíndo Firefox, Chromium, VLC e Transmission, listas perfís Illamento de chamadas ao sistema. Para obter os privilexios necesarios para configurar un ambiente illado, o executable firejail instálase co indicador de raíz SUID (os privilexios restablécense despois da inicialización). Para executar un programa en modo de illamento, simplemente especifique o nome da aplicación como argumento para a utilidade firejail, por exemplo, "firejail firefox" ou "sudo firejail /etc/init.d/nginx start".

Na nova versión:

  • No ficheiro de configuración /etc/firejail/firejail.config engadido configuración file-copy-limit, que che permite limitar o tamaño dos ficheiros que se copiarán á memoria ao usar as opcións "--private-*" (o límite predeterminado é de 500 MB).
  • Engadíronse modelos para crear novos perfís de restricións de aplicacións ao directorio /usr/share/doc/firejail.
  • Os depuradores están permitidos nos perfís.
  • Mellorouse o filtrado de chamadas do sistema usando o mecanismo seccomp.
  • Ofrécese a detección automática de indicadores do compilador.
  • A chamada chroot agora realízase usando puntos de montaxe baseados en descritores de ficheiros en lugar de baseados en rutas.
  • O directorio /usr/share foi incluído na lista branca para varios perfís.
  • Engadíronse os novos scripts auxiliares gdb-firejail.sh e sort.py á sección conrib.
  • Protección reforzada na fase de execución de código privilexiado (SUID).
  • Implementáronse novas funcionalidades condicionais HAS_X11 e HAS_NET para perfís que permiten comprobar a presenza dun servidor X e o acceso á rede.
  • Engadíronse perfís para o lanzamento de aplicacións illadas (o número total de perfís aumentou a 884):
    • i2p,
    • navegador Tor (AUR),
    • Zulip,
    • sincronización de rs,
    • sinal-cli,
    • volcado de tcp,
    • tiburón,
    • qgis,
    • OpenArena,
    • Godot,
    • fórmula klatex,
    • klatexformula_cmdl,
    • ligazóns
    • ligazóns x,
    • pándoc,
    • equipos-para-linux,
    • gravador de son gnome,
    • xornalista,
    • keepassxc-cli,
    • proxy keepassxc,
    • cliente de rhythmbox,
    • Jerry,
    • celo,
    • mpg123,
    • conxuro,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • saída123,
    • conector mpg123,
    • mpg123-nas,
    • mpg123-aberto,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulso,
    • mpg123-strip,
    • pavucontrol-qt,
    • personaxes de gnomo,
    • mapa-de-caracteres-de-gnome,
    • Ave balea,
    • envoltorio-de-inicio-tb,
    • bzcat,
    • escritorio kiwix,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • sen zstd,
    • zstdmt,
    • sen estándar,
    • ar,
    • gnome-latex,
    • pngquant,
    • kalxebra,
    • kalgebramobile,
    • amulado,
    • atopar,
    • blasfemias,
    • gravador de son,
    • monitor de cámara,
    • ddgtk,
    • debuxo,
    • unf,
    • gmpc,
    • correo electrónico,
    • esencia,
    • pasta de esencia.

Fonte: opennet.ru

Compre hospedaxe fiable para sitios con protección DDoS, servidores VPS VDS 🔥 Compra aloxamento web fiable con protección DDoS, servidores VPS VDS | ProHoster