🥇फ़ायरजेल एप्लिकेशन आइसोलेशन सिस्टम 0.9.72 का विमोचन

फ़ायरजेल 0.9.72 प्रोजेक्ट की रिलीज़ प्रकाशित की गई है, जो ग्राफ़िकल, कंसोल और सर्वर अनुप्रयोगों के पृथक निष्पादन के लिए एक प्रणाली विकसित करती है, जो अविश्वसनीय या संभावित रूप से कमजोर प्रोग्राम चलाने पर मुख्य सिस्टम से समझौता करने के जोखिम को कम करने की अनुमति देती है। प्रोग्राम C में लिखा गया है, GPLv2 लाइसेंस के तहत वितरित किया गया है और 3.0 से पुराने कर्नेल के साथ किसी भी Linux वितरण पर चलाया जा सकता है। तैयार फायरजेल पैकेज डेब (डेबियन, उबंटू) और आरपीएम (सेंटोस, फेडोरा) प्रारूपों में तैयार किए जाते हैं।

अलगाव के लिए, फायरजेल लिनक्स पर नेमस्पेस, ऐपआर्मर और सिस्टम कॉल फ़िल्टरिंग (seccomp-bpf) का उपयोग करता है। एक बार लॉन्च होने के बाद, प्रोग्राम और उसकी सभी चाइल्ड प्रक्रियाएं कर्नेल संसाधनों के अलग-अलग दृश्यों का उपयोग करती हैं, जैसे कि नेटवर्क स्टैक, प्रोसेस टेबल और माउंट पॉइंट। जो एप्लिकेशन एक दूसरे पर निर्भर हैं उन्हें एक सामान्य सैंडबॉक्स में जोड़ा जा सकता है। यदि वांछित है, तो फायरजेल का उपयोग डॉकर, एलएक्ससी और ओपनवीजेड कंटेनरों को चलाने के लिए भी किया जा सकता है।

कंटेनर आइसोलेशन टूल के विपरीत, फायरजेल को कॉन्फ़िगर करना बेहद आसान है और इसके लिए सिस्टम छवि की तैयारी की आवश्यकता नहीं होती है - कंटेनर संरचना वर्तमान फ़ाइल सिस्टम की सामग्री के आधार पर तुरंत बनाई जाती है और एप्लिकेशन पूरा होने के बाद हटा दी जाती है। फ़ाइल सिस्टम तक पहुंच नियमों को सेट करने के लचीले साधन प्रदान किए गए हैं; आप यह निर्धारित कर सकते हैं कि कौन सी फ़ाइलों और निर्देशिकाओं तक पहुंच की अनुमति है या इनकार किया गया है, डेटा के लिए अस्थायी फ़ाइल सिस्टम (tmpfs) को कनेक्ट करें, फ़ाइलों या निर्देशिकाओं तक पहुंच को केवल पढ़ने के लिए सीमित करें, निर्देशिकाओं को संयोजित करें बाइंड-माउंट और ओवरलेफ़्स।

फ़ायरफ़ॉक्स, क्रोमियम, वीएलसी और ट्रांसमिशन सहित बड़ी संख्या में लोकप्रिय अनुप्रयोगों के लिए, रेडीमेड सिस्टम कॉल आइसोलेशन प्रोफाइल तैयार किए गए हैं। सैंडबॉक्स वाले वातावरण को स्थापित करने के लिए आवश्यक विशेषाधिकार प्राप्त करने के लिए, फायरजेल निष्पादन योग्य को SUID रूट ध्वज के साथ स्थापित किया गया है (विशेषाधिकार आरंभीकरण के बाद रीसेट हो जाते हैं)। किसी प्रोग्राम को आइसोलेशन मोड में चलाने के लिए, बस फ़ायरजेल उपयोगिता के तर्क के रूप में एप्लिकेशन नाम निर्दिष्ट करें, उदाहरण के लिए, "फ़ायरजेल फ़ायरफ़ॉक्स" या "सुडो फ़ायरजेल /etc/init.d/nginx प्रारंभ"।

नई रिलीज में:

सिस्टम कॉल के लिए एक seccomp फ़िल्टर जोड़ा गया जो नेमस्पेस के निर्माण को रोकता है (सक्षम करने के लिए "--restrict-namespaces" विकल्प जोड़ा गया है)। अद्यतन सिस्टम कॉल टेबल और seccomp समूह।
बेहतर फ़ोर्स-नॉनप्रिव्स मोड (NO_NEW_PRIVS), जो नई प्रक्रियाओं को अतिरिक्त विशेषाधिकार प्राप्त करने से रोकता है।
आपके स्वयं के AppArmor प्रोफाइल का उपयोग करने की क्षमता जोड़ी गई (कनेक्शन के लिए "--apparmor" विकल्प की पेशकश की गई है)।
नेटट्रेस नेटवर्क ट्रैफ़िक ट्रैकिंग सिस्टम, जो प्रत्येक पते से आईपी और ट्रैफ़िक तीव्रता के बारे में जानकारी प्रदर्शित करता है, ICMP समर्थन लागू करता है और "--dnstrace", "--icmptrace" और "--snitrace" विकल्प प्रदान करता है।
--cgroup और --shell कमांड हटा दिए गए हैं (डिफ़ॉल्ट --shell=none है)। फ़ायरटनल का निर्माण डिफ़ॉल्ट रूप से रोक दिया गया है। /etc/firejail/firejail.config में अक्षम क्रोट, प्राइवेट-लिब और ट्रेसलॉग सेटिंग्स। GRSecurity समर्थन बंद कर दिया गया है.

स्रोत: opennet.ru

फ़ायरजेल एप्लिकेशन आइसोलेशन सिस्टम 0.9.72 का विमोचन

एक टिप्पणी जोड़ें उत्तर रद्द