Հրապարակվել է Firejail 0.9.72 նախագծի թողարկումը, որը մշակում է գրաֆիկական, կոնսոլային և սերվերային հավելվածների մեկուսացված կատարման համակարգ՝ թույլ տալով նվազագույնի հասցնել հիմնական համակարգի վտանգի ռիսկը անվստահելի կամ պոտենցիալ խոցելի ծրագրերի գործարկման ժամանակ: Ծրագիրը գրված է C-ով, բաշխված է GPLv2 լիցենզիայի ներքո և կարող է աշխատել ցանկացած Linux բաշխման վրա, որն ունի 3.0-ից ավելի հին միջուկ: Firejail-ի պատրաստ փաթեթները պատրաստվում են deb (Debian, Ubuntu) և rpm (CentOS, Fedora) ձևաչափերով։
Մեկուսացման համար Firejail-ը Linux-ում օգտագործում է անունների տարածքներ, AppArmor և համակարգային զանգերի զտիչ (seccomp-bpf): Գործարկվելուց հետո ծրագիրը և նրա բոլոր զավակ գործընթացները օգտագործում են միջուկի ռեսուրսների առանձին դիտումներ, ինչպիսիք են ցանցի կույտը, գործընթացի աղյուսակը և տեղադրման կետերը: Հավելվածները, որոնք կախված են միմյանցից, կարելի է միավորել մեկ ընդհանուր ավազատուփի մեջ: Ցանկության դեպքում Firejail-ը կարող է օգտագործվել նաև Docker, LXC և OpenVZ կոնտեյներներ գործարկելու համար:
Ի տարբերություն կոնտեյների մեկուսացման գործիքների՝ firejail-ը չափազանց պարզ է կարգավորելու համար և չի պահանջում համակարգի պատկերի պատրաստում. կոնտեյների կազմը ձևավորվում է անմիջապես՝ հիմնվելով ընթացիկ ֆայլային համակարգի բովանդակության վրա և ջնջվում է հավելվածի ավարտից հետո: Տրվում են ֆայլային համակարգ մուտք գործելու կանոններ սահմանելու ճկուն միջոցներ. դուք կարող եք որոշել, թե որ ֆայլերին և գրացուցակներին է թույլատրված կամ մերժված մուտքը, տվյալների համար միացնել ժամանակավոր ֆայլային համակարգերը (tmpfs), սահմանափակել մուտքը դեպի ֆայլեր կամ գրացուցակներ միայն կարդալու համար, համատեղել դիրեկտորիաները bind-mount և overlayfs:
Մեծ թվով հայտնի հավելվածների համար, այդ թվում՝ Firefox, Chromium, VLC և Transmission, պատրաստվել են համակարգային զանգերի մեկուսացման պատրաստի պրոֆիլներ։ Sandboxed միջավայր ստեղծելու համար անհրաժեշտ արտոնությունները ձեռք բերելու համար firejail գործարկիչը տեղադրվում է SUID արմատային դրոշակով (արտոնությունները վերակայվում են սկզբնավորումից հետո): Ծրագիրը մեկուսացման ռեժիմում գործարկելու համար պարզապես նշեք հավելվածի անունը որպես փաստարկ firejail կոմունալ ծառայության համար, օրինակ՝ «firejail firefox» կամ «sudo firejail /etc/init.d/nginx start»:
Նոր թողարկումում.
- Համակարգային զանգերի համար ավելացվել է seccomp զտիչ, որն արգելափակում է անվանատարածքների ստեղծումը (միացնելու համար ավելացվել է «--սահմանափակել անունների տարածքները» տարբերակը): Թարմացված համակարգի զանգերի աղյուսակները և seccomp խմբերը:
- Բարելավված force-nonewprivs ռեժիմը (NO_NEW_PRIVS), որը թույլ չի տալիս նոր գործընթացներին լրացուցիչ արտոնություններ ստանալ:
- Ավելացվեց ձեր սեփական AppArmor պրոֆիլներն օգտագործելու հնարավորությունը (միացման համար առաջարկվում է «--apparmor» տարբերակը):
- Nettrace ցանցի երթևեկության հետևման համակարգը, որը ցուցադրում է IP-ի և տրաֆիկի ինտենսիվության մասին տեղեկատվություն յուրաքանչյուր հասցեից, իրականացնում է ICMP աջակցություն և առաջարկում է «--dnstrace», «--icmptrace» և «--snitrace» տարբերակները:
- --cgroup և --shell հրամանները հեռացվել են (կանխադրվածը --shell=none է): Firetunnel-ի կառուցումը լռելյայն դադարեցված է: Անջատված է chroot, private-lib և tracelog կարգավորումները /etc/firejail/firejail.config: grsecurity-ի աջակցությունը դադարեցվել է:
Source: opennet.ru