Apre sis mwa nan devlopman lage pwojè , nan ki yon sistèm ap devlope pou ekzekisyon izole nan aplikasyon grafik, konsole ak sèvè. Sèvi ak Firejail pèmèt ou minimize risk pou konpwomèt sistèm prensipal la lè w ap kouri pwogram ki pa fè konfyans oswa ki kapab vilnerab. Pwogram nan ekri nan lang C, lisansye anba GPLv2 epi li ka kouri sou nenpòt distribisyon Linux ak yon nwayo ki gen plis pase 3.0. Pakè pare yo ak Firejail nan fòma deb (Debian, Ubuntu) ak rpm (CentOS, Fedora).
Pou izolasyon nan Firejail namespaces, AppArmor, ak filtraj apèl sistèm (seccomp-bpf) nan Linux. Yon fwa yo te lanse, pwogram nan ak tout pwosesis pitit li yo sèvi ak opinyon separe nan resous nwayo, tankou pile rezo a, tab pwosesis, ak pwen mòn. Aplikasyon ki depann youn sou lòt ka konbine nan yon sèl sandbox komen. Si ou vle, Firejail ka itilize tou pou kouri kontenè Docker, LXC ak OpenVZ.
Kontrèman ak zouti izolasyon veso yo, firejail se trè nan konfigirasyon an epi li pa mande pou preparasyon an nan yon imaj sistèm - se konpozisyon an veso ki fòme sou vole a ki baze sou sa ki nan sistèm dosye aktyèl la epi li se efase apre aplikasyon an fini. Yo bay mwayen fleksib pou fikse règ aksè nan sistèm fichye a; ou ka detèmine ki fichye ak anyè yo gen dwa oswa yo refize aksè, konekte sistèm fichye tanporè (tmpfs) pou done, limite aksè a fichye oswa anyè pou li sèlman, konbine anyè atravè bind-mount ak overlayfs.
Pou yon gwo kantite aplikasyon popilè, ki gen ladan Firefox, Chromium, VLC ak Transmisyon, pare-fè izolasyon apèl sistèm. Pou jwenn privilèj ki nesesè yo mete kanpe yon anviwònman sandboxed, ègzèkutabl firejail la enstale ak drapo rasin SUID (privilèj yo reset apre inisyalizasyon). Pou kouri yon pwogram nan mòd izolasyon, tou senpleman presize non aplikasyon an kòm yon agiman nan sèvis piblik firejail la, pou egzanp, "firejail firefox" oswa "sudo firejail /etc/init.d/nginx start".
Nan nouvo lage a:
- Nan dosye konfigirasyon /etc/firejail/firejail.config anviwònman fichye-kopi-limit, ki pèmèt ou limite gwosè fichye yo pral kopye nan memwa lè w ap itilize opsyon "--private-*" (pa default limit la fikse a 500MB).
- Modèl pou kreye nouvo pwofil restriksyon aplikasyon yo te ajoute nan /usr/share/doc/firejail anyè.
- Des pèmèt itilize débogueur.
- Amelyore filtraj apèl sistèm lè l sèvi avèk mekanis seccomp la.
- Yo bay oto-deteksyon nan drapo du.
- Chroot apèl la pa fè ankò baze sou chemen an, men lè l sèvi avèk pwen mòn ki baze sou deskriptè dosye a.
- Anyè /usr/share la mete nan lis blan pa plizyè pwofil.
- Nouvo script asistan gdb-firejail.sh ak sort.py te ajoute nan seksyon conrib la.
- Ranfòse pwoteksyon nan etap nan ekzekisyon nan kòd privilejye (SUID).
- Pou pwofil, nouvo atribi kondisyonèl HAS_X11 ak HAS_NET yo te aplike pou tcheke prezans yon sèvè X ak aksè rezo.
- Te ajoute pwofil pou lansman aplikasyon izole (kantite total pwofil ogmante a 884):
- i2p,
- tor-browser (AUR),
- Zulip,
- rsync
- siyal-cli
- tcpdump
- reken,
- qgis
- OpenArena,
- godot,
- klatexformula,
- klatexformula_cmdl,
- lyen,
- xlinks,
- pandoc
- ekip-pou-linux,
- gnome-son-anrejistre,
- newsbeuter,
- keepassxc-cli,
- keepassxc-proxy,
- rhythmbox-kliyan,
- jerry
- zèl,
- mpg123,
- konplike,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- soti 123,
- mpg123-jack,
- mpg123-nas,
- mpg123-openal,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-pulse,
- mpg123-band,
- pavucontrol-qt,
- karaktè luten,
- gnome-karaktè-kat,
- Whalebird
- tb-starter-wrapper,
- bzcat,
- kiwix-desktop,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar,
- gnome-latex,
- pngquant
- kaljèb
- kalgebramobile,
- amiled
- jwenn,
- profanite
- odyo-anrejistre,
- kameramonitor
- ddgtk
- drawio,
- unf,
- gmpc,
- elèktron-lapòs,
- esansyèl,
- esansyèl-paste.
Sous: opennet.ru