Objavljen je Firejail 0.9.72. Razvija sustav za izolirano izvršavanje grafičkih, konzolnih i serverskih aplikacija, minimizirajući rizik od ugrožavanja host sustava prilikom pokretanja nepouzdanih ili potencijalno ranjivih programa. Program je napisan u C-u, distribuira se pod GPLv2 licencom i radi na bilo kojoj distribuciji. Linux s kernelom starijim od 3.0. Gotovi paketi s Firejailom pripremljeni su u deb formatima (Debian, Ubuntu) i okretaja u minuti (CentOS, Fedora).
Firejail koristi imenske prostore, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) za izolaciju. LinuxNakon pokretanja, program i svi njegovi podprocesi koriste odvojene reprezentacije resursa jezgre, kao što su mrežni stog, tablica procesa i točke montiranja. Međuovisne aplikacije mogu se kombinirati u jedan zajednički sandbox. Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ kontejnera.
Za razliku od alata za izolaciju spremnika, firejail je izuzetno jednostavan za konfiguriranje i ne zahtijeva pripremu slike sustava - sastav spremnika se formira u hodu na temelju sadržaja trenutnog datotečnog sustava i briše se nakon završetka aplikacije. Dostupni su fleksibilni načini postavljanja pravila pristupa datotečnom sustavu; možete odrediti kojim datotekama i direktorijima je pristup dopušten ili zabranjen, povezati privremene datotečne sustave (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijima na samo za čitanje, kombinirati direktorije putem bind-mount i overlayfs.
Za velik broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, pripremljeni su gotovi profili izolacije sistemskih poziva. Za dobivanje privilegija potrebnih za postavljanje okruženja u sandboxu, izvršna datoteka firejail se instalira sa SUID root oznakom (privilegije se poništavaju nakon inicijalizacije). Da biste pokrenuli program u izolacijskom načinu rada, jednostavno navedite naziv aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
- Dodan seccomp filtar za sistemske pozive koji blokira stvaranje prostora imena (dodana je opcija “--restrict-namespaces” za omogućavanje). Ažurirane tablice sistemskih poziva i seccomp grupe.
- Poboljšan force-nonewprivs način (NO_NEW_PRIVS), koji sprječava nove procese da dobiju dodatne privilegije.
- Dodana je mogućnost korištenja vlastitih AppArmor profila (opcija “--apparmor” nudi se za povezivanje).
- Sustav za praćenje mrežnog prometa nettrace, koji prikazuje informacije o IP-u i intenzitetu prometa sa svake adrese, implementira ICMP podršku i nudi opcije "--dnstrace", "--icmptrace" i "--snitrace".
- Naredbe --cgroup i --shell su uklonjene (zadano je --shell=none). Izgradnja Firetunnel-a zaustavljena je prema zadanim postavkama. Onemogućene postavke chroot, private-lib i tracelog u /etc/firejail/firejail.config. grsecurity podrška je ukinuta.
Izvor: opennet.ru
