Megjelent a Firejail 0.9.72. A program egy olyan rendszert fejleszt, amely képes grafikus, konzol és szerveralkalmazások elszigetelten végrehajtani, minimalizálva a gazdarendszer veszélyeztetésének kockázatát megbízhatatlan vagy potenciálisan sebezhető programok futtatásakor. A program C nyelven íródott, GPLv2 licenc alatt terjeszthető, és bármilyen disztribúción fut. Linux 3.0-nál régebbi kernellel. A Firejail-lel kész csomagok deb formátumban készülnek (Debian, Ubuntu) és fordulatszám (CentOS, Fedora).
A Firejail névtereket, AppArmort és rendszerhívás-szűrést (seccomp-bpf) használ az izolációhoz. LinuxElindítás után egy program és annak összes gyermekfolyamata a kernel erőforrásainak külön reprezentációit használja, például a hálózati veremet, a folyamattáblát és a csatolási pontokat. Az egymástól függő alkalmazások egyetlen megosztott sandboxba egyesíthetők. A Firejail Docker, LXC és OpenVZ konténerek futtatására is használható.
A tárolóelválasztó eszközökkel ellentétben a firejail rendkívül egyszerűen konfigurálható, és nem igényel rendszerkép elkészítését – a tároló összetétele menet közben jön létre az aktuális fájlrendszer tartalma alapján, és az alkalmazás befejezése után törlődik. Rugalmas módok állnak rendelkezésre a fájlrendszerhez való hozzáférési szabályok beállítására; meghatározhatja, mely fájlok és könyvtárak engedélyezettek vagy megtagadtak, ideiglenes fájlrendszereket (tmpfs) csatlakoztathat az adatokhoz, korlátozhatja a fájlok vagy könyvtárak elérését írásvédettre, kombinálhatja a könyvtárakat kötés-felszerelés és átfedések.
Számos népszerű alkalmazáshoz, beleértve a Firefoxot, a Chromiumot, a VLC-t és a Transmissiont, kész rendszerhívás-leválasztó profilok készültek. A sandbox-környezet beállításához szükséges jogosultságok megszerzéséhez a firejail végrehajtható fájlt a SUID gyökérjelzővel kell telepíteni (a jogosultságok visszaállításra kerülnek az inicializálás után). A program elkülönített módban történő futtatásához egyszerűen adja meg az alkalmazás nevét a firejail segédprogram argumentumaként, például „firejail firefox” vagy „sudo firejail /etc/init.d/nginx start”.
Az új kiadásban:
- Hozzáadott egy seccomp szűrőt a rendszerhívásokhoz, amely blokkolja a névterek létrehozását (a „--restrict-namespaces” opció hozzáadva az engedélyezéshez). Frissített rendszerhívási táblák és seccomp csoportok.
- Továbbfejlesztett force-nonewprivs mód (NO_NEW_PRIVS), amely megakadályozza, hogy az új folyamatok további jogosultságokat szerezzenek.
- Hozzáadtuk a saját AppArmor profilok használatának lehetőségét (a „--apparmor” opció elérhető a csatlakozáshoz).
- A nettrace hálózati forgalomkövető rendszer, amely információkat jelenít meg az egyes címekről az IP-címről és a forgalom intenzitásáról, megvalósítja az ICMP támogatást, és a "--dnstrace", "--icmptrace" és "--snitrace" opciókat kínálja.
- A --cgroup és a --shell parancsot eltávolítottuk (az alapértelmezett a --shell=none). A Firetunnel build alapértelmezés szerint leáll. Letiltva a chroot, a private-lib és a tracelog beállításokat az /etc/firejail/firejail.config fájlban. a grsecurity támogatása megszűnt.
Forrás: opennet.ru
