ProHoster > Blog > berita internet > Rilis Sistem Isolasi Aplikasi Firejail 0.9.62

Rilis Sistem Isolasi Aplikasi Firejail 0.9.62

Setelah enam bulan pengembangan tersedia rilis proyek Penjara Api 0.9.62, yang sedang mengembangkan sistem untuk eksekusi aplikasi grafis, konsol, dan server secara terisolasi. Penggunaan Firejail meminimalkan risiko membahayakan sistem utama saat menjalankan program yang tidak tepercaya atau berpotensi rentan. Program ini ditulis dalam bahasa C. didistribusikan oleh Dilisensikan di bawah GPLv2 dan dapat dijalankan di distribusi apa pun. Linux dengan kernel yang lebih lama dari 3.0. Paket siap pakai dengan Firejail siap dalam format deb (Debian, Ubuntu) dan rpm (CentOSFedora).

Untuk isolasi di Firejail digunakan namespace, AppArmor, dan penyaringan panggilan sistem (seccomp-bpf) di LinuxSetelah diluncurkan, sebuah program dan semua proses turunannya menggunakan representasi terpisah dari sumber daya kernel, seperti tumpukan jaringan, tabel proses, dan titik pemasangan. Aplikasi yang saling bergantung dapat digabungkan ke dalam satu lingkungan terisolasi (sandbox) bersama. Firejail juga dapat digunakan untuk menjalankan kontainer Docker, LXC, dan OpenVZ.

Tidak seperti perangkat isolasi kontainer, firejail sangat sederhana Konfigurasi ini tidak memerlukan persiapan citra sistem—isi kontainer dibuat secara otomatis berdasarkan isi sistem berkas saat ini dan dihapus setelah aplikasi ditutup. Aturan akses sistem berkas yang fleksibel disediakan, memungkinkan Anda menentukan berkas dan direktori mana yang diizinkan atau ditolak aksesnya, memasang sistem berkas sementara (tmpfs) untuk data, membatasi akses ke berkas atau direktori menjadi hanya-baca, dan menggabungkan direktori menggunakan bind-mount dan overlayfs.

Plugin siap pakai tersedia untuk sejumlah besar aplikasi populer, termasuk Firefox, Chromium, VLC dan Transmission. profil Isolasi panggilan sistem. Untuk mendapatkan hak istimewa yang diperlukan guna menyiapkan lingkungan yang terisolasi, file eksekusi firejail diinstal dengan flag root SUID (hak istimewa akan diatur ulang setelah inisialisasi). Untuk menjalankan program dalam mode isolasi, cukup tentukan nama aplikasi sebagai argumen untuk utilitas firejail, misalnya, "firejail firefox" atau "sudo firejail /etc/init.d/nginx start."

Dalam rilis baru:

  • Dalam berkas konfigurasi /etc/firejail/firejail.config ditambahkan pengaturan batas-salinan-file, yang memungkinkan Anda membatasi ukuran file yang akan disalin ke memori saat menggunakan opsi "--private-*" (batas default adalah 500MB).
  • Templat untuk membuat profil pembatasan aplikasi baru telah ditambahkan ke direktori /usr/share/doc/firejail.
  • Debugger diizinkan dalam profil.
  • Peningkatan penyaringan panggilan sistem menggunakan mekanisme seccomp.
  • Deteksi otomatis terhadap bendera kompiler disediakan.
  • Pemanggilan chroot sekarang dilakukan menggunakan titik pemasangan berbasis deskriptor berkas, bukan yang berbasis jalur.
  • Direktori /usr/share telah masuk daftar putih untuk berbagai profil.
  • Skrip pembantu baru gdb-firejail.sh dan sort.py telah ditambahkan ke bagian conrib.
  • Peningkatan perlindungan pada tahap eksekusi kode istimewa (SUID).
  • Fitur kondisional baru HAS_X11 dan HAS_NET telah diterapkan untuk profil untuk memeriksa keberadaan server X dan akses jaringan.
  • Profil tambahan untuk peluncuran aplikasi terisolasi (jumlah total profil telah ditingkatkan menjadi 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync,
    • sinyal-cli,
    • tcpdump,
    • hiu,
    • qgis,
    • Arena Terbuka,
    • godot,
    • klatexformula,
    • klatexformula_cmdl,
    • tautan,
    • tautan x,
    • pandoc,
    • tim-untuk-linux,
    • perekam suara gnome,
    • wartawan,
    • keepassxc-cli,
    • keepassxc-proxy,
    • klien rhythmbox,
    • Jerry,
    • semangat,
    • mpg123,
    • tipuan,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • keluar123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulsa,
    • mpg123-strip,
    • pavucontrol-qt,
    • karakter gnome,
    • peta-karakter-gnome,
    • Burung Paus,
    • tb-starter-wrapper,
    • kucing,
    • kiwix-desktop,
    • kucing,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • tanpa zstd,
    • zstdmt,
    • tidak perlu,
    • di,
    • gnome-lateks,
    • pngquant,
    • kaljabar,
    • kaljabramobile,
    • terhibur,
    • menemukan,
    • kata-kata kotor,
    • perekam audio,
    • monitor kamera,
    • ddgtk,
    • gambar,
    • tidak,
    • gmpc,
    • e-mail,
    • inti,
    • gist-paste.

Sumber: opennet.ru

Beli hosting yang andal untuk situs dengan perlindungan DDoS, server VPS VDS 🔥 Beli hosting website andal dengan perlindungan DDoS, server VPS VDS | ProHoster