Objavljeno je izdanje projekta Firejail 0.9.72 koji razvija sustav za izolirano izvršavanje grafičkih, konzolnih i poslužiteljskih aplikacija, čime se smanjuje rizik od ugrožavanja glavnog sustava pri pokretanju nepouzdanih ili potencijalno ranjivih programa. Program je napisan u C-u, distribuira se pod GPLv2 licencom i može raditi na bilo kojoj Linux distribuciji s kernelom starijim od 3.0. Gotovi Firejail paketi pripremljeni su u deb (Debian, Ubuntu) i rpm (CentOS, Fedora) formatima.
Za izolaciju, Firejail koristi imenske prostore, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) na Linuxu. Nakon pokretanja, program i svi njegovi podređeni procesi koriste zasebne poglede na resurse jezgre, kao što su mrežni stog, tablica procesa i točke montiranja. Aplikacije koje ovise jedna o drugoj mogu se kombinirati u jedan zajednički sandbox. Ako želite, Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ spremnika.
Za razliku od alata za izolaciju spremnika, firejail je izuzetno jednostavan za konfiguriranje i ne zahtijeva pripremu slike sustava - sastav spremnika se formira u hodu na temelju sadržaja trenutnog datotečnog sustava i briše se nakon završetka aplikacije. Dostupni su fleksibilni načini postavljanja pravila pristupa datotečnom sustavu; možete odrediti kojim datotekama i direktorijima je pristup dopušten ili zabranjen, povezati privremene datotečne sustave (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijima na samo za čitanje, kombinirati direktorije putem bind-mount i overlayfs.
Za velik broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, pripremljeni su gotovi profili izolacije sistemskih poziva. Za dobivanje privilegija potrebnih za postavljanje okruženja u sandboxu, izvršna datoteka firejail se instalira sa SUID root oznakom (privilegije se poništavaju nakon inicijalizacije). Da biste pokrenuli program u izolacijskom načinu rada, jednostavno navedite naziv aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
- Dodan seccomp filtar za sistemske pozive koji blokira stvaranje prostora imena (dodana je opcija “--restrict-namespaces” za omogućavanje). Ažurirane tablice sistemskih poziva i seccomp grupe.
- Poboljšan force-nonewprivs način (NO_NEW_PRIVS), koji sprječava nove procese da dobiju dodatne privilegije.
- Dodana je mogućnost korištenja vlastitih AppArmor profila (opcija “--apparmor” nudi se za povezivanje).
- Sustav za praćenje mrežnog prometa nettrace, koji prikazuje informacije o IP-u i intenzitetu prometa sa svake adrese, implementira ICMP podršku i nudi opcije "--dnstrace", "--icmptrace" i "--snitrace".
- Naredbe --cgroup i --shell su uklonjene (zadano je --shell=none). Izgradnja Firetunnel-a zaustavljena je prema zadanim postavkama. Onemogućene postavke chroot, private-lib i tracelog u /etc/firejail/firejail.config. grsecurity podrška je ukinuta.
Izvor: opennet.ru