izdanje projekta , unutar kojeg se razvija sustav za izolirano izvođenje grafičkih, konzolnih i poslužiteljskih aplikacija. Korištenje Firejaila omogućuje vam smanjenje rizika od ugrožavanja glavnog sustava pri pokretanju nepouzdanih ili potencijalno ranjivih programa. Program je napisan u C jeziku, licenciran pod GPLv2 i može raditi na bilo kojoj Linux distribuciji s kernelom starijim od 3.0. Gotovi paketi s Firejailom u deb (Debian, Ubuntu) i rpm (CentOS, Fedora) formatima.
Za izolaciju u vatrogasnom zatvoru prostori imena, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) u Linuxu. Nakon pokretanja, program i svi njegovi podređeni procesi koriste zasebne poglede na resurse jezgre, kao što su mrežni stog, tablica procesa i točke montiranja. Aplikacije koje ovise jedna o drugoj mogu se kombinirati u jedan zajednički sandbox. Ako želite, Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ spremnika.
Za razliku od alata za izolaciju spremnika, protupožarni zatvor je izuzetno jak u konfiguraciji i ne zahtijeva pripremu slike sustava - sastav spremnika se formira u hodu na temelju sadržaja trenutnog datotečnog sustava i briše se nakon završetka aplikacije. Dostupni su fleksibilni načini postavljanja pravila pristupa datotečnom sustavu; možete odrediti kojim datotekama i direktorijima je pristup dopušten ili zabranjen, povezati privremene datotečne sustave (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijima na samo za čitanje, kombinirati direktorije putem bind-mount i overlayfs.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, gotove izolacija poziva sustava. Da biste pokrenuli program u izolacijskom načinu rada, jednostavno navedite naziv aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
- Popravljena je ranjivost koja zlonamjernom procesu omogućuje zaobilaženje mehanizma ograničenja poziva sustava. Suština ranjivosti je da se Seccomp filtri kopiraju u direktorij /run/firejail/mnt, u koji je moguće pisati unutar izoliranog okruženja. Zlonamjerni procesi koji se izvode u izoliranom načinu rada mogu modificirati ove datoteke, što će uzrokovati izvršavanje novih procesa koji se izvode u istom okruženju bez primjene filtra sistemskih poziva;
- Memorija-deny-write-execute filter osigurava blokiranje poziva “memfd_create”;
- Dodana nova opcija "private-cwd" za promjenu radnog direktorija za zatvor;
- Dodana opcija "--nodbus" za blokiranje D-Bus utičnica;
- Vraćena podrška za CentOS 6;
- podrška za pakete u formatima и .
da ti paketi trebaju koristiti vlastiti alat; - Dodani su novi profili za izoliranje 87 dodatnih programa, uključujući mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentacije, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp i cantata.
Izvor: opennet.ru