projekt kiadás , amelyen belül a grafikus, konzol- és szerveralkalmazások elszigetelt végrehajtására szolgáló rendszert fejlesztenek. A Firejail használatával minimalizálható a fő rendszer veszélyeztetésének kockázata megbízhatatlan vagy potenciálisan sebezhető programok futtatásakor. A program C nyelven íródott, GPLv2 licenc alatt van, és bármely Linux disztribúción futhat 3.0-nál régebbi kernellel. Kész csomagok Firejail-lel deb (Debian, Ubuntu) és rpm (CentOS, Fedora) formátumban.
A Firejailben való elszigeteltségért névterek, AppArmor és rendszerhívás-szűrés (seccomp-bpf) Linuxban. Az indítást követően a program és az összes alárendelt folyamata külön nézeteket használ a kernel erőforrásairól, például a hálózati veremről, a folyamattábláról és a csatolási pontokról. Az egymástól függő alkalmazások egyetlen közös homokozóba kombinálhatók. Kívánság szerint a Firejail Docker, LXC és OpenVZ konténerek futtatására is használható.
A konténerszigetelő eszközökkel ellentétben a firejail rendkívüli konfigurációban, és nem igényel rendszerkép elkészítését - a tároló összetétele menet közben jön létre az aktuális fájlrendszer tartalma alapján, és az alkalmazás befejezése után törlődik. Rugalmas módok állnak rendelkezésre a fájlrendszerhez való hozzáférési szabályok beállítására; meghatározhatja, mely fájlok és könyvtárak engedélyezettek vagy megtagadtak, ideiglenes fájlrendszereket (tmpfs) csatlakoztathat az adatokhoz, korlátozhatja a fájlok vagy könyvtárak elérését írásvédettre, kombinálhatja a könyvtárakat kötés-felszerelés és átfedések.
Számos népszerű alkalmazáshoz, például Firefox, Chromium, VLC és Transmission, készen rendszerhívás elkülönítése. A program elkülönített módban történő futtatásához egyszerűen adja meg az alkalmazás nevét a firejail segédprogram argumentumaként, például „firejail firefox” vagy „sudo firejail /etc/init.d/nginx start”.
Az új kiadásban:
- Kijavították azt a biztonsági rést, amely lehetővé teszi egy rosszindulatú folyamat számára a rendszerhívás-korlátozási mechanizmus megkerülését. A sérülékenység lényege, hogy a Seccomp szűrőket a /run/firejail/mnt könyvtárba másolják, amely az elszigetelt környezetben írható. Az elkülönített módban futó rosszindulatú folyamatok módosíthatják ezeket a fájlokat, aminek következtében az ugyanabban a környezetben futó új folyamatok a rendszerhívási szűrő alkalmazása nélkül futnak le;
- A memória-megtagadás-írás-végrehajtás szűrő biztosítja, hogy a „memfd_create” hívás blokkolva legyen;
- Új "private-cwd" opció hozzáadva a börtön munkakönyvtárának megváltoztatásához;
- "--nodbus" opció hozzáadva a D-Bus aljzatok blokkolásához;
- Visszatért a CentOS 6 támogatása;
- formátumú csomagok támogatása и .
hogy ezeknek a csomagoknak saját szerszámokat kell használniuk; - Új profilok kerültek hozzáadásra 87 további program elkülönítésére, köztük a mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentációk, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp és kantáta.
Forrás: opennet.ru