Firejail 0.9.72 שחרור בידוד יישומים

פורסם שחרורו של פרויקט Firejail 0.9.72, המפתח מערכת לביצוע מבודד של אפליקציות גרפיות, קונסולות ושרתים, המאפשרת למזער את הסיכון של פגיעה במערכת הראשית בעת הפעלת תוכניות לא מהימנות או שעלולות להיות פגיעות. התוכנית כתובה ב-C, מופצת תחת רישיון GPLv2 ויכולה לפעול בכל הפצת לינוקס עם ליבה ישנה מ-3.0. חבילות מוכנות עם Firejail מוכנות בפורמטים של deb (Debian, Ubuntu) ו-rpm (CentOS, Fedora).

לצורך בידוד, Firejail משתמש במרחבי שמות (מרחבי שמות), AppArmor וסינון שיחות מערכת (seccomp-bpf) בלינוקס. לאחר ההפעלה, התוכנית וכל תהליכי הצאצא שלה משתמשים בייצוגים נפרדים של משאבי הליבה כגון מחסנית הרשת, טבלת התהליך ונקודות הטעינה. ניתן לשלב יישומים התלויים זה בזה לארגז חול משותף אחד. אם תרצה, ניתן להשתמש ב-Firejail גם להפעלת מכולות Docker, LXC ו-OpenVZ.

בשונה מכלי בידוד קונטיינרים, Firejail הוא פשוט ביותר להגדרה ואינו מצריך הכנת תמונת מערכת – הרכב הקונטיינר נוצר תוך כדי תנועה על בסיס התוכן של מערכת הקבצים הנוכחית ונמחק לאחר סיום האפליקציה. כלים גמישים מסופקים להגדרת כללי גישה למערכת קבצים, אתה יכול לקבוע אילו קבצים וספריות מותרים או מונעים גישה, לחבר מערכות קבצים זמניות (tmpfs) לנתונים, להגביל גישה לקבצים או ספריות לקריאה בלבד, לשלב ספריות באמצעות bind-mount ושכבות-על.

למספר רב של יישומים פופולריים, כולל Firefox, Chromium, VLC ו-Transmission, יש פרופילי בידוד שיחות מערכת מוגדרים מראש. כדי לקבל את ההרשאות הנדרשות להגדרת סביבת ארגז חול, קובץ ההפעלה של firejail מותקן עם דגל השורש SUID (ההרשאות מתאפסות לאחר האתחול). כדי להפעיל תוכנית במצב בידוד, מספיק לציין את שם היישום כארגומנט לכלי השירות של firejail, למשל, "firejail firefox" או "sudo firejail /etc/init.d/nginx start".

במהדורה החדשה:

• נוסף מסנן קריאות מערכת seccomp כדי לחסום יצירת מרחב שמות (נוספה אפשרות "--restrict-namespaces" כדי להפעיל). טבלאות קריאות מערכת וקבוצות seccomp מעודכנות.
• משופר מצב force-nonewprivs (NO_NEW_PRIVS) כדי למנוע מתהליכים חדשים לקבל הרשאות נוספות.
• נוספה את היכולת להשתמש בפרופילי AppArmor משלך (אפשרות "--apparmor" מוצעת לחיבור).
• מערכת מעקב התעבורה ברשת nettrace, המציגה מידע על IP ועוצמת התעבורה מכל כתובת, תומכת ב-ICMP ומציעה אפשרויות "-dnstrace", "--icmptrace" ו-"--snitrace".
• הוסרו הפקודות --cgroup ו- --shell (ברירת המחדל היא --shell=none). בניית Firetunnel נעצרת כברירת מחדל. השבתת הגדרות chroot, private-lib ו-tracelog ב-/etc/firejail/firejail.config. הוסרה התמיכה ב-grsecurity.

מקור: OpenNet.ru