ProHoster > Blog > nouvèl sou entènèt > Firejail 0.9.60 Aplikasyon Izolasyon Release

Firejail 0.9.60 Aplikasyon Izolasyon Release

Wè limyè a lage pwojè Firejail 0.9.60, nan ki yon sistèm ap devlope pou ekzekisyon izole nan aplikasyon grafik, konsole ak sèvè. Sèvi ak Firejail pèmèt ou minimize risk pou konpwomèt sistèm prensipal la lè w ap kouri pwogram ki pa fè konfyans oswa ki kapab vilnerab. Pwogram nan ekri nan lang C, distribiye pa lisansye anba GPLv2 epi li ka kouri sou nenpòt distribisyon Linux ak yon nwayo ki gen plis pase 3.0. Pakè pare yo ak Firejail prepare nan fòma deb (Debian, Ubuntu) ak rpm (CentOS, Fedora).

Pou izolasyon nan Firejail yo itilize namespaces, AppArmor, ak filtraj apèl sistèm (seccomp-bpf) nan Linux. Yon fwa yo te lanse, pwogram nan ak tout pwosesis pitit li yo sèvi ak opinyon separe nan resous nwayo, tankou pile rezo a, tab pwosesis, ak pwen mòn. Aplikasyon ki depann youn sou lòt ka konbine nan yon sèl sandbox komen. Si ou vle, Firejail ka itilize tou pou kouri kontenè Docker, LXC ak OpenVZ.

Kontrèman ak zouti izolasyon veso yo, firejail se trè senp nan konfigirasyon an epi li pa mande pou preparasyon an nan yon imaj sistèm - se konpozisyon an veso ki fòme sou vole a ki baze sou sa ki nan sistèm aktyèl la dosye epi li se efase apre aplikasyon an fini. Yo bay mwayen fleksib pou fikse règ aksè nan sistèm fichye a; ou ka detèmine ki fichye ak anyè yo gen dwa oswa yo refize aksè, konekte sistèm fichye tanporè (tmpfs) pou done, limite aksè a fichye oswa anyè pou lekti sèlman, konbine anyè atravè bind-mount ak overlayfs.

Pou yon gwo kantite aplikasyon popilè, ki gen ladan Firefox, Chromium, VLC ak Transmisyon, pare-fè Des izolasyon apèl sistèm. Pou kouri yon pwogram nan mòd izolasyon, tou senpleman presize non aplikasyon an kòm yon agiman nan sèvis piblik firejail la, pou egzanp, "firejail firefox" oswa "sudo firejail /etc/init.d/nginx start".

Nan nouvo lage a:

  • Yon vilnerabilite ki pèmèt yon pwosesis move kontoune mekanis restriksyon apèl sistèm lan te fiks. Sans vilnerabilite a se ke filtè Seccomp yo kopye nan anyè /run/firejail/mnt, ki ka ekri nan anviwònman izole a. Pwosesis move k ap kouri nan mòd izolasyon ka modifye dosye sa yo, ki pral lakòz nouvo pwosesis k ap kouri nan menm anviwònman an dwe egzekite san yo pa aplike filtè apèl sistèm lan;
  • Filtè memwa-refize-ekri-egzekisyon asire ke apèl la "memfd_create" bloke;
  • Te ajoute nouvo opsyon "private-cwd" pou chanje anyè k ap travay pou prizon;
  • Te ajoute opsyon "--nodbus" pou bloke priz D-Bus;
  • Retounen sipò pou CentOS 6;
  • Sispann sipò pou pakè nan fòma flatpak и menen.
    Espesifyeke pakè sa yo ta dwe itilize pwòp zouti yo;

  • Nouvo pwofil yo te ajoute pou izole 87 pwogram adisyonèl, tankou mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ak cantata.

Sous: opennet.ru

Add nouvo kòmantè