rilis proyek , di mana suatu sistem sedang dikembangkan untuk eksekusi aplikasi grafis, konsol, dan server yang terisolasi. Menggunakan Firejail memungkinkan Anda meminimalkan risiko kompromi pada sistem utama saat menjalankan program yang tidak dapat dipercaya atau berpotensi rentan. Program ini ditulis dalam bahasa C, berlisensi di bawah GPLv2 dan dapat berjalan di distribusi Linux apa pun dengan kernel yang lebih lama dari 3.0. Paket siap pakai dengan Firejail dalam format deb (Debian, Ubuntu) dan rpm (CentOS, Fedora).
Untuk isolasi di Firejail namespace, AppArmor, dan pemfilteran panggilan sistem (seccomp-bpf) di Linux. Setelah diluncurkan, program dan semua proses turunannya menggunakan tampilan sumber daya kernel yang terpisah, seperti tumpukan jaringan, tabel proses, dan titik pemasangan. Aplikasi yang bergantung satu sama lain dapat digabungkan menjadi satu kotak pasir umum. Jika diinginkan, Firejail juga dapat digunakan untuk menjalankan container Docker, LXC dan OpenVZ.
Tidak seperti alat isolasi wadah, firejail sangat ekstrim dalam konfigurasi dan tidak memerlukan persiapan citra sistem - komposisi wadah dibentuk dengan cepat berdasarkan konten sistem file saat ini dan dihapus setelah aplikasi selesai. Sarana fleksibel untuk menetapkan aturan akses ke sistem file disediakan; Anda dapat menentukan file dan direktori mana yang diizinkan atau ditolak aksesnya, menghubungkan sistem file sementara (tmpfs) untuk data, membatasi akses ke file atau direktori menjadi hanya-baca, menggabungkan direktori melalui bind-mount dan overlayfs.
Untuk sejumlah besar aplikasi populer, termasuk Firefox, Chromium, VLC dan Transmisi, sudah jadi isolasi panggilan sistem. Untuk menjalankan program dalam mode isolasi, cukup tentukan nama aplikasi sebagai argumen untuk utilitas firejail, misalnya, βfirejail firefoxβ atau βsudo firejail /etc/init.d/nginx startβ.
Dalam rilis baru:
- Kerentanan yang memungkinkan proses jahat melewati mekanisme pembatasan panggilan sistem telah diperbaiki. Inti dari kerentanannya adalah filter Seccomp disalin ke direktori /run/firejail/mnt, yang dapat ditulis dalam lingkungan terisolasi. Proses berbahaya yang berjalan dalam mode isolasi dapat mengubah file-file ini, yang akan menyebabkan proses baru yang berjalan di lingkungan yang sama dijalankan tanpa menerapkan filter panggilan sistem;
- Filter memory-deny-write-execute memastikan bahwa panggilan βmemfd_createβ diblokir;
- Menambahkan opsi baru "private-cwd" untuk mengubah direktori kerja untuk jail;
- Menambahkan opsi "--nodbus" untuk memblokir soket D-Bus;
- Mengembalikan dukungan untuk CentOS 6;
- dukungan untuk paket dalam format ΠΈ .
bahwa paket-paket ini harus menggunakan peralatannya sendiri; - Profil baru telah ditambahkan untuk mengisolasi 87 program tambahan, termasuk mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentasi, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp dan cantata.
Sumber: opennet.ru