ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia ʻo Firejail Application Isolation System 0.9.72

Hoʻokuʻu ʻia ʻo Firejail Application Isolation System 0.9.72

Ua paʻi ʻia ka hoʻokuʻu ʻana o ka papahana Firejail 0.9.72, e hoʻomohala ana i kahi ʻōnaehana no ka hoʻokō kaʻawale ʻana i nā kiʻi kiʻi, console a me nā polokalamu kikowaena, e ʻae ana e hōʻemi i ka pilikia o ka hoʻololi ʻana i ka ʻōnaehana nui i ka wā e holo ai i nā polokalamu hilinaʻi ʻole a i ʻole nā ​​​​polokalamu pilikia. Ua kākau ʻia ka papahana ma ka ʻōlelo C, hāʻawi ʻia ma lalo o ka laikini GPLv2 a hiki ke holo ma kekahi mahele Linux me kahi kernel ʻoi aku ma mua o 3.0. Hoʻomākaukau ʻia nā pūʻolo Firejail i mākaukau ma nā ʻano deb (Debian, Ubuntu) a me rpm (CentOS, Fedora).

No ka hoʻokaʻawale ʻana, hoʻohana ʻo Firejail i nā inoa inoa, AppArmor, a me ka kānana kelepona ʻōnaehana (seccomp-bpf) ma Linux. I ka wā i hoʻokuʻu ʻia ai, hoʻohana ka papahana a me kāna kaʻina hana keiki a pau i nā manaʻo ʻokoʻa o nā kumuwaiwai kernel, e like me ka waihona pūnaewele, ka papa hana, a me nā wahi mauna. Hiki ke hoʻohui ʻia nā noi i hilinaʻi ʻia kekahi i kekahi i hoʻokahi pahu one maʻamau. Inā makemake ʻia, hiki ke hoʻohana ʻia ʻo Firejail e holo i nā pahu Docker, LXC a me OpenVZ.

ʻAʻole like me nā mea hana hoʻokaʻawale pahu, maʻalahi loa ka hale paʻahao i ka hoʻonohonoho ʻana a ʻaʻole koi i ka hoʻomākaukau ʻana i kahi kiʻi ʻōnaehana - ua hoʻokumu ʻia ka ʻano ipu ma ka lele e pili ana i nā mea o ka ʻōnaehana faila o kēia manawa a holoi ʻia ma hope o ka pau ʻana o ka noi. Hāʻawi ʻia nā ala maʻalahi o ka hoʻonohonoho ʻana i nā lula komo i ka ʻōnaehana faila; hiki iā ʻoe ke hoʻoholo i nā faila a me nā papa kuhikuhi i ʻae ʻia a hōʻole ʻia ke komo ʻana, e hoʻopili i nā ʻōnaehana faila manawaleʻa (tmpfs) no ka ʻikepili, e kaupalena i ke komo ʻana i nā faila a i ʻole nā ​​​​papa kuhikuhi i ka heluhelu wale nō, hoʻohui i nā papa kuhikuhi ma o hoʻopaʻa-mauna a me nā uhi.

No ka heluna nui o nā noi kaulana, me Firefox, Chromium, VLC a me Transmission, ua hoʻomākaukau ʻia nā ʻaoʻao hoʻokaʻawale kelepona i hoʻomākaukau ʻia. No ka loaʻa ʻana o nā pono e pono ai e hoʻonohonoho i kahi kaiapuni sandboxed, ua hoʻokomo ʻia ka mea hoʻokō ahi me ka hae aʻa SUID (ua hoʻonohonoho hou ʻia nā pono ma hope o ka hoʻomaka ʻana). No ka holo ʻana i kahi papahana ma ke ʻano kaʻawale, e kuhikuhi wale i ka inoa noi ma ke ʻano he hoʻopaʻapaʻa i ka pono o ka hale paʻahao, no ka laʻana, "firejail firefox" a i ʻole "sudo firejail /etc/init.d/nginx start".

I ka hoʻokuʻu hou:

  • Hoʻohui ʻia kahi kānana seccomp no nā kelepona ʻōnaehana e ālai i ka hana ʻana i nā inoa inoa (ua hoʻohui ʻia ke koho "--restrict-namespaces" e hiki ai). Nā papa kelepona ʻōnaehana hou a me nā hui seccom.
  • Ua hoʻomaikaʻi ʻia ka mode force-nonewprivs (NO_NEW_PRIVS), ka mea e pale ai i nā kaʻina hana hou mai ka loaʻa ʻana o nā pono hou.
  • Hoʻohui i ka hiki ke hoʻohana i kāu ʻaoʻao AppArmor ponoʻī (ua hāʻawi ʻia ke koho "--apparmor" no ka pilina).
  • ʻO ka ʻōnaehana huli kaʻa kaʻa nettrace, e hōʻike ana i ka ʻike e pili ana i ka IP a me ka ikaika o ke kaʻa mai kēlā me kēia helu helu, hoʻokō i ke kākoʻo ICMP a hāʻawi i nā koho "--dnstrace", "--icmptrace" a me "--snitrace".
  • Ua wehe ʻia nā kauoha --cgroup a me --shell (ʻo ka paʻamau --shell=none). Hoʻopau ʻia ke kūkulu ʻana o Firetunnel e ka paʻamau. Hoʻopau ʻia ka chroot, private-lib a me nā hoʻonohonoho tracelog i /etc/firejail/firejail.config. Ua hoʻopau ʻia ke kākoʻo grsecurity.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka