նախագծի թողարկում , որի շրջանակներում մշակվում է համակարգ գրաֆիկական, կոնսոլային և սերվերային հավելվածների մեկուսացված կատարման համար։ Firejail-ի օգտագործումը թույլ է տալիս նվազագույնի հասցնել հիմնական համակարգի վտանգը, երբ գործարկում եք անվստահելի կամ պոտենցիալ խոցելի ծրագրեր: Ծրագիրը գրված է C լեզվով, լիցենզավորված GPLv2-ի ներքո և կարող է աշխատել Linux-ի ցանկացած բաշխման վրա, որն ունի 3.0-ից հին միջուկ: Պատրաստի փաթեթներ Firejail-ով deb (Debian, Ubuntu) և rpm (CentOS, Fedora) ձևաչափերով:
Firejail-ում մեկուսացման համար անունների տարածքներ, AppArmor և համակարգային զանգերի զտում (seccomp-bpf) Linux-ում: Գործարկվելուց հետո ծրագիրը և նրա բոլոր զավակ գործընթացները օգտագործում են միջուկի ռեսուրսների առանձին դիտումներ, ինչպիսիք են ցանցի կույտը, գործընթացի աղյուսակը և տեղադրման կետերը: Հավելվածները, որոնք կախված են միմյանցից, կարելի է միավորել մեկ ընդհանուր ավազատուփի մեջ: Ցանկության դեպքում Firejail-ը կարող է օգտագործվել նաև Docker, LXC և OpenVZ բեռնարկղերը գործարկելու համար:
Ի տարբերություն բեռնարկղերի մեկուսացման գործիքների, firejail-ը ծայրահեղ է կոնֆիգուրացիայի մեջ և չի պահանջում համակարգի պատկերի պատրաստում. կոնտեյների կազմը ձևավորվում է թռիչքի վրա՝ հիմնվելով ընթացիկ ֆայլային համակարգի բովանդակության վրա և ջնջվում է դիմումն ավարտելուց հետո: Տրվում են ֆայլային համակարգ մուտք գործելու կանոններ սահմանելու ճկուն միջոցներ. դուք կարող եք որոշել, թե որ ֆայլերին և գրացուցակներին է թույլատրված կամ մերժված մուտքը, տվյալների համար միացնել ժամանակավոր ֆայլային համակարգերը (tmpfs), սահմանափակել մուտքը դեպի ֆայլեր կամ գրացուցակներ միայն կարդալու համար, համատեղել դիրեկտորիաները bind-mount և overlayfs:
Մեծ թվով հայտնի հավելվածների համար, ներառյալ Firefox, Chromium, VLC և Transmission, պատրաստ է համակարգային զանգերի մեկուսացում: Ծրագիրը մեկուսացման ռեժիմում գործարկելու համար պարզապես նշեք հավելվածի անունը որպես փաստարկ firejail կոմունալ ծառայության համար, օրինակ՝ «firejail firefox» կամ «sudo firejail /etc/init.d/nginx start»:
Նոր թողարկումում.
- Ուղղվել է խոցելիությունը, որը թույլ է տալիս վնասակար գործընթացին շրջանցել համակարգային զանգերի սահմանափակման մեխանիզմը: Խոցելիության էությունը կայանում է նրանում, որ Seccomp ֆիլտրերը պատճենվում են /run/firejail/mnt գրացուցակում, որը կարելի է գրել մեկուսացված միջավայրում: Մեկուսացման ռեժիմով աշխատող վնասակար գործընթացները կարող են փոփոխել այս ֆայլերը, ինչը կհանգեցնի նույն միջավայրում աշխատող նոր գործընթացների կատարմանը առանց համակարգի կանչի զտիչ կիրառելու.
- Հիշողության մերժում-գրում-կատարում ֆիլտրը ապահովում է, որ «memfd_create» զանգն արգելափակված է.
- Ավելացվեց «private-cwd» նոր տարբերակ՝ բանտի աշխատանքային գրացուցակը փոխելու համար.
- Ավելացվեց «--nodbus» տարբերակը D-Bus վարդակների արգելափակման համար;
- Վերադարձված աջակցություն CentOS 6-ի համար;
- ձևաչափերով փաթեթների աջակցություն и .
որ այս փաթեթները պետք է օգտագործեն իրենց սեփական գործիքակազմը. - Նոր պրոֆիլներ են ավելացվել՝ մեկուսացնելու համար 87 հավելյալ ծրագրեր, այդ թվում՝ mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp և cantata:
Source: opennet.ru