ProHoster > blog > berita internet > Rilis Sistem Isolasi Aplikasi Firejail 0.9.62

Rilis Sistem Isolasi Aplikasi Firejail 0.9.62

Setelah enam bulan pengembangan tersedia rilis proyek Penjara Api 0.9.62, di mana suatu sistem sedang dikembangkan untuk eksekusi aplikasi grafis, konsol, dan server yang terisolasi. Menggunakan Firejail memungkinkan Anda meminimalkan risiko kompromi pada sistem utama saat menjalankan program yang tidak dapat dipercaya atau berpotensi rentan. Program ini ditulis dalam bahasa C, didistribusikan oleh berlisensi di bawah GPLv2 dan dapat berjalan di distribusi Linux apa pun dengan kernel yang lebih lama dari 3.0. Paket siap pakai dengan Firejail siap dalam format deb (Debian, Ubuntu) dan rpm (CentOS, Fedora).

Untuk isolasi di Firejail digunakan namespace, AppArmor, dan pemfilteran panggilan sistem (seccomp-bpf) di Linux. Setelah diluncurkan, program dan semua proses turunannya menggunakan tampilan sumber daya kernel yang terpisah, seperti tumpukan jaringan, tabel proses, dan titik pemasangan. Aplikasi yang bergantung satu sama lain dapat digabungkan menjadi satu kotak pasir umum. Jika diinginkan, Firejail juga dapat digunakan untuk menjalankan container Docker, LXC dan OpenVZ.

Tidak seperti alat isolasi wadah, firejail sangat ekstrim sederhana dalam konfigurasi dan tidak memerlukan persiapan citra sistem - komposisi wadah dibentuk dengan cepat berdasarkan konten sistem file saat ini dan dihapus setelah aplikasi selesai. Sarana fleksibel untuk menetapkan aturan akses ke sistem file disediakan; Anda dapat menentukan file dan direktori mana yang diizinkan atau ditolak aksesnya, menghubungkan sistem file sementara (tmpfs) untuk data, membatasi akses ke file atau direktori menjadi hanya-baca, menggabungkan direktori melalui bind-mount dan overlayfs.

Untuk sejumlah besar aplikasi populer, termasuk Firefox, Chromium, VLC dan Transmisi, sudah jadi profil isolasi panggilan sistem. Untuk mendapatkan hak istimewa yang diperlukan untuk menyiapkan lingkungan sandbox, firejail yang dapat dieksekusi diinstal dengan tanda root SUID (hak istimewa diatur ulang setelah inisialisasi). Untuk menjalankan program dalam mode isolasi, cukup tentukan nama aplikasi sebagai argumen untuk utilitas firejail, misalnya, “firejail firefox” atau “sudo firejail /etc/init.d/nginx start”.

Dalam rilis baru:

  • Dalam file konfigurasi /etc/firejail/firejail.config ditambahkan pengaturan file-copy-limit, yang memungkinkan Anda membatasi ukuran file yang akan disalin ke memori saat menggunakan opsi “--private-*” (secara default, batasnya diatur ke 500MB).
  • Templat untuk membuat profil pembatasan aplikasi baru telah ditambahkan ke direktori /usr/share/doc/firejail.
  • Profil mengizinkan penggunaan debugger.
  • Peningkatan pemfilteran panggilan sistem menggunakan mekanisme seccomp.
  • Deteksi otomatis flag compiler disediakan.
  • Panggilan chroot tidak lagi dilakukan berdasarkan jalur, tetapi menggunakan titik mount berdasarkan deskriptor file.
  • Direktori /usr/share masuk daftar putih oleh berbagai profil.
  • Skrip pembantu baru gdb-firejail.sh dan sort.py telah ditambahkan ke bagian conrib.
  • Memperkuat perlindungan pada tahap eksekusi kode istimewa (SUID).
  • Untuk profil, atribut kondisional baru HAS_X11 dan HAS_NET telah diterapkan untuk memeriksa keberadaan server X dan akses jaringan.
  • Menambahkan profil untuk peluncuran aplikasi terisolasi (jumlah total profil meningkat menjadi 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync
    • sinyal-cli
    • tcpdump
    • hiu,
    • qgis
    • Arena Terbuka,
    • Godot,
    • formula klateks,
    • klatexformula_cmdl,
    • tautan,
    • tautan x,
    • pandoc
    • tim-untuk-linux,
    • gnome-perekam suara,
    • berita,
    • keepassxc-cli,
    • keepassxc-proxy,
    • klien rhythmbox,
    • jerigen
    • semangat,
    • mpg123,
    • bertemu,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • keluar123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulsa,
    • mpg123-strip,
    • pavucontrol-qt,
    • karakter gnome,
    • peta karakter gnome,
    • burung paus
    • tb-starter-wrapper,
    • kucing,
    • kiwix-desktop,
    • kucing,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • tanpa batas,
    • zstdmt,
    • tidak perlu,
    • di,
    • gnome-lateks,
    • pngquant
    • caljabra
    • ponsel kalgebra,
    • terpesona
    • temukan,
    • kata-kata kotor
    • perekam suara,
    • monitor kamera
    • ddgtk
    • menggambar,
    • tidak,
    • gmpc,
    • surat elektron,
    • inti,
    • inti-pasta.

Sumber: opennet.ru

Tambah komentar