Izdanje sustava za izolaciju aplikacije Firejail 0.9.62
Nakon šest mjeseci razvoja dostupno izdanje projekta Vatrogasni zatvor 0.9.62, unutar kojeg se razvija sustav za izolirano izvođenje grafičkih, konzolnih i poslužiteljskih aplikacija. Korištenje Firejaila omogućuje vam smanjenje rizika od ugrožavanja glavnog sustava pri pokretanju nepouzdanih ili potencijalno ranjivih programa. Program je napisan u C jeziku, distribuira licenciran pod GPLv2 i može raditi na bilo kojoj Linux distribuciji s kernelom starijim od 3.0. Gotovi paketi s Firejailom pripremljeni u deb (Debian, Ubuntu) i rpm (CentOS, Fedora) formatima.
Za izolaciju u vatrogasnom zatvoru su korišteni prostori imena, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) u Linuxu. Nakon pokretanja, program i svi njegovi podređeni procesi koriste zasebne poglede na resurse jezgre, kao što su mrežni stog, tablica procesa i točke montiranja. Aplikacije koje ovise jedna o drugoj mogu se kombinirati u jedan zajednički sandbox. Ako želite, Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ spremnika.
Za razliku od alata za izolaciju spremnika, protupožarni zatvor je izuzetno jak lako u konfiguraciji i ne zahtijeva pripremu slike sustava - sastav spremnika se formira u hodu na temelju sadržaja trenutnog datotečnog sustava i briše se nakon završetka aplikacije. Dostupni su fleksibilni načini postavljanja pravila pristupa datotečnom sustavu; možete odrediti kojim datotekama i direktorijima je pristup dopušten ili zabranjen, povezati privremene datotečne sustave (tmpfs) za podatke, ograničiti pristup datotekama ili direktorijima na samo za čitanje, kombinirati direktorije putem bind-mount i overlayfs.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC i Transmission, gotove профили izolacija poziva sustava. Za dobivanje privilegija potrebnih za postavljanje okruženja u sandboxu, izvršna datoteka firejail se instalira sa SUID root oznakom (privilegije se poništavaju nakon inicijalizacije). Da biste pokrenuli program u izolacijskom načinu rada, jednostavno navedite naziv aplikacije kao argument uslužnom programu firejail, na primjer, “firejail firefox” ili “sudo firejail /etc/init.d/nginx start”.
U novom izdanju:
U konfiguracijskoj datoteci /etc/firejail/firejail.config dodao postavku file-copy-limit, koja vam omogućuje da ograničite veličinu datoteka koje će se kopirati u memoriju kada koristite opcije “--private-*” (prema zadanim postavkama ograničenje je postavljeno na 500 MB).
Predlošci za stvaranje novih profila ograničenja aplikacija dodani su u /usr/share/doc/firejail direktorij.
Profili dopuštaju korištenje programa za ispravljanje pogrešaka.
Poboljšano filtriranje sistemskih poziva pomoću mehanizma seccomp.
Omogućeno je automatsko otkrivanje oznaka prevoditelja.
Chroot poziv se više ne vrši na temelju staze, već pomoću točaka montiranja na temelju deskriptora datoteke.
Direktorij /usr/share nalazi se na bijelom popisu raznih profila.
Nove pomoćne skripte gdb-firejail.sh i sort.py dodane su u odjeljak conrib.
Pojačana zaštita u fazi izvršenja privilegiranog koda (SUID).
Za profile su implementirani novi uvjetni atributi HAS_X11 i HAS_NET za provjeru prisutnosti X poslužitelja i pristupa mreži.
Dodani profili za izolirano pokretanje aplikacije (ukupan broj profila povećan na 884):