verkefnisútgáfu , þar sem verið er að þróa kerfi fyrir einangraða framkvæmd grafískra, stjórnborða og netþjónaforrita. Notkun Firejail gerir þér kleift að lágmarka hættuna á að stofna aðalkerfið í hættu þegar þú keyrir ótraust eða hugsanlega viðkvæm forrit. Forritið er skrifað á C tungumáli, leyfi samkvæmt GPLv2 og getur keyrt á hvaða Linux dreifingu sem er með kjarna eldri en 3.0. Tilbúnir pakkar með Firejail í deb (Debian, Ubuntu) og rpm (CentOS, Fedora) sniðum.
Fyrir einangrun í Firejail nafnrými, AppArmor og síun kerfiskalla (seccomp-bpf) í Linux. Þegar það hefur verið ræst, nota forritið og öll undirferli þess aðskildar skoðanir á kjarnaauðlindum, svo sem netstafla, vinnslutöflu og tengipunkta. Forrit sem eru háð hvert öðru er hægt að sameina í einn sameiginlegan sandkassa. Ef þess er óskað er Firejail einnig hægt að nota til að keyra Docker, LXC og OpenVZ gáma.
Ólíkt gámaeinangrunarverkfærum er firejail mjög í uppsetningunni og krefst ekki undirbúnings kerfismyndar - ílátssamsetningin er mynduð á flugi byggt á innihaldi núverandi skráarkerfis og er eytt eftir að umsókn er lokið. Boðið er upp á sveigjanlegar leiðir til að setja aðgangsreglur að skráarkerfinu; þú getur ákvarðað hvaða skrár og möppur eru leyfðar eða neitar aðgangi, tengt tímabundin skráarkerfi (tmpfs) fyrir gögn, takmarkað aðgang að skrám eða möppum í skrifvarið, sameinað möppur í gegnum bind-mount og overlayfs.
Fyrir mikinn fjölda vinsælra forrita, þar á meðal Firefox, Chromium, VLC og Transmission, tilbúið einangrun kerfissímtala. Til að keyra forrit í einangrunarham skaltu einfaldlega tilgreina forritsheitið sem rök fyrir firejail tólinu, til dæmis „firejail firefox“ eða „sudo firejail /etc/init.d/nginx start“.
Í nýju útgáfunni:
- Varnarleysi sem gerir illgjarnt ferli kleift að komast framhjá takmörkunarkerfi kerfissímtala hefur verið lagað. Kjarninn í varnarleysinu er að Seccomp síur eru afritaðar í /run/firejail/mnt möppuna, sem er skrifanleg innan einangraða umhverfisins. Skaðlegir ferlar sem keyra í einangrunarham geta breytt þessum skrám, sem veldur því að ný ferli sem keyra í sama umhverfi verða keyrð án þess að nota kerfiskallsíuna;
- Memory-deny-write-execute sían tryggir að „memfd_create“ símtalið sé læst;
- Bætti við nýjum valkosti „private-cwd“ til að breyta vinnuskránni fyrir fangelsi;
- Bætt við "--nodbus" möguleika til að loka fyrir D-Bus innstungur;
- Skilaði stuðningi fyrir CentOS 6;
- stuðningur við pakka í sniðum и .
að þessir pakkar ættu að nota sín eigin verkfæri; - Nýjum sniðum hefur verið bætt við til að einangra 87 viðbótarforrit, þar á meðal mypaint, nano, xfce4-mixer, gnome-lyklahring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp og kantöta.
Heimild: opennet.ru