Rilis proyek Firejail 0.9.72 telah diterbitkan, yang mengembangkan sistem untuk eksekusi aplikasi grafis, konsol, dan server yang terisolasi, memungkinkan untuk meminimalkan risiko kompromi sistem utama ketika menjalankan program yang tidak dapat dipercaya atau berpotensi rentan. Program ini ditulis dalam C, didistribusikan di bawah lisensi GPLv2 dan dapat dijalankan pada distribusi Linux apa pun dengan kernel yang lebih lama dari 3.0. Paket Firejail siap pakai disiapkan dalam format deb (Debian, Ubuntu) dan rpm (CentOS, Fedora).
Untuk isolasi, Firejail menggunakan namespace, AppArmor, dan pemfilteran panggilan sistem (seccomp-bpf) di Linux. Setelah diluncurkan, program dan semua proses turunannya menggunakan tampilan sumber daya kernel yang terpisah, seperti tumpukan jaringan, tabel proses, dan titik pemasangan. Aplikasi yang bergantung satu sama lain dapat digabungkan menjadi satu kotak pasir umum. Jika diinginkan, Firejail juga dapat digunakan untuk menjalankan container Docker, LXC dan OpenVZ.
Tidak seperti alat isolasi kontainer, firejail sangat mudah dikonfigurasi dan tidak memerlukan persiapan citra sistem - komposisi kontainer dibentuk dengan cepat berdasarkan konten sistem file saat ini dan dihapus setelah aplikasi selesai. Sarana fleksibel untuk menetapkan aturan akses ke sistem file disediakan; Anda dapat menentukan file dan direktori mana yang diizinkan atau ditolak aksesnya, menghubungkan sistem file sementara (tmpfs) untuk data, membatasi akses ke file atau direktori menjadi hanya-baca, menggabungkan direktori melalui bind-mount dan overlayfs.
Untuk sejumlah besar aplikasi populer, termasuk Firefox, Chromium, VLC dan Transmisi, profil isolasi panggilan sistem siap pakai telah disiapkan. Untuk mendapatkan hak istimewa yang diperlukan untuk menyiapkan lingkungan sandbox, firejail yang dapat dieksekusi diinstal dengan tanda root SUID (hak istimewa diatur ulang setelah inisialisasi). Untuk menjalankan program dalam mode isolasi, cukup tentukan nama aplikasi sebagai argumen untuk utilitas firejail, misalnya, βfirejail firefoxβ atau βsudo firejail /etc/init.d/nginx startβ.
Dalam rilis baru:
- Menambahkan filter seccomp untuk panggilan sistem yang memblokir pembuatan namespace (opsi β--restrict-namespacesβ telah ditambahkan untuk mengaktifkan). Tabel panggilan sistem dan grup seccomp yang diperbarui.
- Peningkatan mode force-nonewprivs (NO_NEW_PRIVS), yang mencegah proses baru mendapatkan hak istimewa tambahan.
- Menambahkan kemampuan untuk menggunakan profil AppArmor Anda sendiri (opsi β--apparmorβ ditawarkan untuk koneksi).
- Sistem pelacakan lalu lintas jaringan nettrace, yang menampilkan informasi tentang IP dan intensitas lalu lintas dari setiap alamat, mengimplementasikan dukungan ICMP dan menawarkan opsi "--dnstrace", "--icmptrace" dan "--snitrace".
- Perintah --cgroup dan --shell telah dihapus (defaultnya adalah --shell=none). Pembuatan Firetunnel dihentikan secara default. Menonaktifkan pengaturan chroot, private-lib dan tracelog di /etc/firejail/firejail.config. dukungan grsecurity telah dihentikan.
Sumber: opennet.ru