Eftir sex mánaða þróun verkefnisútgáfu , þar sem verið er að þróa kerfi fyrir einangraða framkvæmd grafískra, stjórnborða og netþjónaforrita. Notkun Firejail gerir þér kleift að lágmarka hættuna á að stofna aðalkerfið í hættu þegar þú keyrir ótraust eða hugsanlega viðkvæm forrit. Forritið er skrifað á C tungumáli, leyfi samkvæmt GPLv2 og getur keyrt á hvaða Linux dreifingu sem er með kjarna eldri en 3.0. Tilbúnir pakkar með Firejail í deb (Debian, Ubuntu) og rpm (CentOS, Fedora) sniðum.
Fyrir einangrun í Firejail nafnrými, AppArmor og síun kerfiskalla (seccomp-bpf) í Linux. Þegar forritið hefur verið ræst, nota forritið og öll undirferli þess aðskildar skoðanir á kjarnaauðlindum, svo sem netstafla, vinnslutöflu og tengipunkta. Forrit sem eru háð hvert öðru er hægt að sameina í einn sameiginlegan sandkassa. Ef þess er óskað er Firejail einnig hægt að nota til að keyra Docker, LXC og OpenVZ gáma.
Ólíkt gámaeinangrunarverkfærum er firejail mjög í uppsetningunni og krefst ekki undirbúnings kerfismyndar - ílátssamsetningin er mynduð á flugi byggt á innihaldi núverandi skráarkerfis og er eytt eftir að umsókn er lokið. Boðið er upp á sveigjanlegar leiðir til að setja aðgangsreglur að skráarkerfinu; þú getur ákvarðað hvaða skrár og möppur eru leyfðar eða neitar aðgangi, tengt tímabundin skráarkerfi (tmpfs) fyrir gögn, takmarkað aðgang að skrám eða möppum í skrifvarið, sameinað möppur í gegnum bind-mount og overlays.
Fyrir mikinn fjölda vinsælra forrita, þar á meðal Firefox, Chromium, VLC og Transmission, tilbúið einangrun kerfissímtala. Til að fá þau réttindi sem nauðsynleg eru til að setja upp sandkassaumhverfi, er keyrsluforritið fyrir firejail sett upp með SUID rótfánanum (forréttindi eru endurstillt eftir frumstillingu). Til að keyra forrit í einangrunarham skaltu einfaldlega tilgreina forritsheitið sem rök fyrir firejail tólinu, til dæmis „firejail firefox“ eða „sudo firejail /etc/init.d/nginx start“.
Í nýju útgáfunni:
- Í stillingarskránni /etc/firejail/firejail.config file-copy-limit stilling, sem gerir þér kleift að takmarka stærð skráa sem verða afrituð í minni þegar þú notar "--private-*" valkostina (sjálfgefið er hámarkið stillt á 500MB).
- Sniðmátum til að búa til ný forritatakmörkunarsnið hefur verið bætt við /usr/share/doc/firejail möppuna.
- Snið leyfir notkun villuleitar.
- Bætt síun á kerfissímtölum með því að nota seccomp vélbúnaðinn.
- Sjálfvirk uppgötvun þýðandafána er veitt.
- Chroot-kallið er ekki lengur byggt á slóðinni, heldur með því að nota tengipunkta byggða á skráarlýsingunni.
- /usr/share skráin er á hvítlista af ýmsum sniðum.
- Nýjum hjálparforskriftum gdb-firejail.sh og sort.py hefur verið bætt við conrib hlutann.
- Aukin vernd á framkvæmdarstigi forréttindakóða (SUID).
- Fyrir snið hafa nýir skilyrtir eiginleikar HAS_X11 og HAS_NET verið innleiddir til að athuga hvort X þjónn og netaðgangur sé til staðar.
- Bætt við sniðum fyrir einangrað forritaræsingu (heildarfjöldi sniða aukist í 884):
- i2p,
- tor-vafri (AUR),
- Zulip,
- rsync
- merki-cli
- tcpdump
- tshark,
- qgis
- OpenArena,
- godot,
- klatexformúla,
- klatexformula_cmdl,
- tenglar,
- xlinks,
- pandoc
- lið-fyrir-linux,
- gnome-hljóðupptökutæki,
- fréttaritari,
- keeppassxc-cli,
- keepassxc-proxy,
- Rhythmbox-viðskiptavinur,
- Jerry
- ákafi,
- mpg123,
- samspil,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- út123,
- mpg123-jack,
- mpg123-nas,
- mpg123-opinn,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-púls,
- mpg123-ræma,
- pavucontrol-qt,
- gnome-persónur,
- gnome-karakter-kort,
- Hvalfugl
- tb-starter-umbúðir,
- bzcat,
- kiwix-skrifborð,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar
- gnome-latex,
- pngquant
- calgebra
- kalgebramobile,
- safnað saman
- kfind,
- blótsyrði
- hljóðupptökutæki,
- myndavélaskjár
- ddgtk
- drawio,
- unf,
- gmpc,
- rafeindapóstur,
- kjarni
- gist-paste.
Heimild: opennet.ru