նախագծի թողարկում , որի շրջանակներում մշակվում է համակարգ գրաֆիկական, կոնսոլային և սերվերային հավելվածների մեկուսացված կատարման համար։ Firejail-ի օգտագործումը թույլ է տալիս նվազագույնի հասցնել հիմնական համակարգի վտանգը, երբ գործարկում եք անվստահելի կամ պոտենցիալ խոցելի ծրագրեր: Ծրագիրը գրված է C լեզվով, լիցենզավորված է GPLv2-ով և կարող է գործարկվել ցանկացած բաշխման վրա Linux 3.0-ից հին միջուկով։ Firejail-ով պատրաստի փաթեթներ deb ձևաչափերով (Debian, Ubuntu) և պտույտ/րոպե (CentOS, Ֆեդորա)։
Firejail-ում մեկուսացման համար անվանատարածքներ, AppArmor և համակարգային կանչերի ֆիլտրում (seccomp-bpf) LinuxՄեկնարկելուց հետո ծրագիրը և դրա բոլոր ենթապրոցեսները օգտագործում են միջուկային ռեսուրսների առանձին ներկայացումներ, ինչպիսիք են ցանցային կուտակիչը, գործընթացների աղյուսակը և միացման կետերը: Փոխկապակցված ծրագրերը կարող են միավորվել մեկ ընդհանուր ավազարկղի մեջ: Ըստ ցանկության, Firejail-ը կարող է նաև օգտագործվել Docker, LXC և OpenVZ կոնտեյներներ գործարկելու համար:
Ի տարբերություն բեռնարկղերի մեկուսացման գործիքների, firejail-ը ծայրահեղ է կոնֆիգուրացիայի մեջ և չի պահանջում համակարգի պատկերի պատրաստում. կոնտեյների կազմը ձևավորվում է թռիչքի վրա՝ հիմնվելով ընթացիկ ֆայլային համակարգի բովանդակության վրա և ջնջվում է դիմումն ավարտելուց հետո: Տրվում են ֆայլային համակարգ մուտք գործելու կանոններ սահմանելու ճկուն միջոցներ. դուք կարող եք որոշել, թե որ ֆայլերին և գրացուցակներին է թույլատրված կամ մերժված մուտքը, տվյալների համար միացնել ժամանակավոր ֆայլային համակարգերը (tmpfs), սահմանափակել մուտքը դեպի ֆայլեր կամ գրացուցակներ միայն կարդալու համար, համատեղել դիրեկտորիաները bind-mount և overlayfs:
Մեծ թվով հայտնի հավելվածների համար, ներառյալ Firefox, Chromium, VLC և Transmission, պատրաստ է համակարգային զանգերի մեկուսացում: Ծրագիրը մեկուսացման ռեժիմում գործարկելու համար պարզապես նշեք հավելվածի անունը որպես փաստարկ firejail կոմունալ ծառայության համար, օրինակ՝ «firejail firefox» կամ «sudo firejail /etc/init.d/nginx start»:
Նոր թողարկումում.
- Ուղղվել է խոցելիությունը, որը թույլ է տալիս վնասակար գործընթացին շրջանցել համակարգային զանգերի սահմանափակման մեխանիզմը: Խոցելիության էությունը կայանում է նրանում, որ Seccomp ֆիլտրերը պատճենվում են /run/firejail/mnt գրացուցակում, որը կարելի է գրել մեկուսացված միջավայրում: Մեկուսացման ռեժիմով աշխատող վնասակար գործընթացները կարող են փոփոխել այս ֆայլերը, ինչը կհանգեցնի նույն միջավայրում աշխատող նոր գործընթացների կատարմանը առանց համակարգի կանչի զտիչ կիրառելու.
- Հիշողության մերժում-գրում-կատարում ֆիլտրը ապահովում է, որ «memfd_create» զանգն արգելափակված է.
- Ավելացվեց «private-cwd» նոր տարբերակ՝ բանտի աշխատանքային գրացուցակը փոխելու համար.
- Ավելացվեց «--nodbus» տարբերակը D-Bus վարդակների արգելափակման համար;
- Աջակցությունը վերադարձավ CentOS 6;
- ձևաչափերով փաթեթների աջակցություն и .
որ այս փաթեթները պետք է օգտագործեն իրենց սեփական գործիքակազմը. - Նոր պրոֆիլներ են ավելացվել՝ մեկուսացնելու համար 87 հավելյալ ծրագրեր, այդ թվում՝ mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp և cantata:
Source: opennet.ru
