Útgáfa Firejail 0.9.72 verkefnisins hefur verið gefin út, sem þróar kerfi fyrir einangraða framkvæmd grafískra, stjórnborða og netþjónaforrita, sem gerir kleift að lágmarka hættuna á að stofna aðalkerfið í hættu þegar keyrt er ótraust eða hugsanlega viðkvæmt forrit. Forritið er skrifað í C, dreift undir GPLv2 leyfinu og getur keyrt á hvaða Linux dreifingu sem er með kjarna eldri en 3.0. Tilbúnir Firejail pakkar eru útbúnir í deb (Debian, Ubuntu) og rpm (CentOS, Fedora) sniði.
Til einangrunar notar Firejail nafnrými, AppArmor og síun kerfiskalla (seccomp-bpf) á Linux. Þegar forritið hefur verið ræst, nota forritið og öll undirferli þess aðskildar skoðanir á kjarnaauðlindum, svo sem netstafla, vinnslutöflu og tengipunkta. Forrit sem eru háð hvert öðru er hægt að sameina í einn sameiginlegan sandkassa. Ef þess er óskað er Firejail einnig hægt að nota til að keyra Docker, LXC og OpenVZ gáma.
Ólíkt gámaeinangrunartólum er firejail mjög einfalt í stillingu og krefst þess ekki að útbúa kerfismynd - gámasamsetningin er mynduð á flugi byggt á innihaldi núverandi skráarkerfis og er eytt eftir að forritinu er lokið. Boðið er upp á sveigjanlegar leiðir til að setja aðgangsreglur að skráarkerfinu; þú getur ákvarðað hvaða skrár og möppur eru leyfðar eða neitar aðgangi, tengt tímabundin skráarkerfi (tmpfs) fyrir gögn, takmarkað aðgang að skrám eða möppum í skrifvarið, sameinað möppur í gegnum bind-mount og overlayfs.
Fyrir fjölda vinsælra forrita, þar á meðal Firefox, Chromium, VLC og Transmission, hafa tilbúnir einangrunarsnið fyrir kerfissímtöl verið útbúin. Til að fá þau réttindi sem nauðsynleg eru til að setja upp sandkassaumhverfi, er keyrsluforritið fyrir firejail sett upp með SUID rótfánanum (forréttindi eru endurstillt eftir frumstillingu). Til að keyra forrit í einangrunarham skaltu einfaldlega tilgreina forritsheitið sem rök fyrir firejail tólinu, til dæmis „firejail firefox“ eða „sudo firejail /etc/init.d/nginx start“.
Í nýju útgáfunni:
- Bætti við seccomp síu fyrir kerfissímtöl sem hindrar stofnun nafnrýma („--restrict-namespaces“ valmöguleikanum hefur verið bætt við til að virkja). Uppfærðar kerfiskallatöflur og seccomp hópar.
- Bætt afl-nonewprivs ham (NO_NEW_PRIVS), sem kemur í veg fyrir að ný ferli öðlist viðbótarréttindi.
- Bætti við möguleikanum á að nota eigin AppArmor snið („--apparmor“ valkosturinn er í boði fyrir tengingu).
- Nettrace netumferðarsporunarkerfið, sem sýnir upplýsingar um IP og umferðarstyrk frá hverju heimilisfangi, útfærir ICMP stuðning og býður upp á "--dnstrace", "--icmptrace" og "--snitrace" valkostina.
- --cgroup og --shell skipanirnar hafa verið fjarlægðar (sjálfgefið er --shell=none). Firetunnel byggingu er sjálfgefið stöðvuð. Slökktu á stillingum chroot, private-lib og tracelog í /etc/firejail/firejail.config. stuðningi við öryggisgæslu hefur verið hætt.
Heimild: opennet.ru