Firejail 0.9.60 שחרור בידוד יישומים

ראה את האור שחרור הפרויקט Firejail 0.9.60, שבתוכה מפתחים מערכת לביצוע מבודד של יישומי גרפיקה, קונסולה ושרת. השימוש ב-Firejail מאפשר לך למזער את הסיכון לפגיעה במערכת הראשית בעת הפעלת תוכניות לא אמינות או פגיעות. התוכנית כתובה בשפת C, מופץ על ידי מורשה תחת GPLv2 ויכולה לפעול בכל הפצת לינוקס עם ליבה ישנה מ-3.0. חבילות מוכנות עם Firejail מוּכָן בפורמטים של deb (Debian, Ubuntu) ו-rpm (CentOS, Fedora).

לבידוד ב-Firejail משמשים מרחבי שמות, AppArmor וסינון שיחות מערכת (seccomp-bpf) בלינוקס. לאחר ההשקה, התוכנית וכל תהליכי הצאצא שלה משתמשים בתצוגות נפרדות של משאבי הליבה, כגון מחסנית הרשת, טבלת התהליך ונקודות הטעינה. ניתן לשלב יישומים התלויים זה בזה לארגז חול משותף אחד. אם תרצה, ניתן להשתמש ב-Firejail גם להפעלת מכולות Docker, LXC ו-OpenVZ.

בניגוד לכלי בידוד מיכלים, Firejail הוא מאוד פשוט בתצורה ואינו מצריך הכנת תמונת מערכת - הרכב הקונטיינר נוצר על בסיס התוכן של מערכת הקבצים הנוכחית ונמחק לאחר השלמת האפליקציה. מסופקים אמצעים גמישים להגדרת כללי גישה למערכת הקבצים; ניתן לקבוע אילו קבצים וספריות מותרים או מונעים גישה, לחבר מערכות קבצים זמניות (tmpfs) לנתונים, להגביל את הגישה לקבצים או ספריות לקריאה בלבד, לשלב ספריות באמצעות חיבור לחיבור ושכבות-על.

עבור מספר רב של יישומים פופולריים, כולל Firefox, Chromium, VLC ו-Transmission, מוכנים פרופילים בידוד שיחות מערכת. כדי להפעיל תוכנית במצב בידוד, פשוט ציין את שם היישום כארגומנט לתוכנית השירות של Firejail, לדוגמה, "firejail firefox" או "sudo firejail /etc/init.d/nginx start".

במהדורה החדשה:

• תוקנה פגיעות המאפשרת לתהליך זדוני לעקוף את מנגנון הגבלת שיחות המערכת. המהות של הפגיעות היא שמסנני Seccomp מועתקים לספריית /run/firejail/mnt, הניתנת לכתיבה בתוך הסביבה המבודדת. תהליכים זדוניים הפועלים במצב בידוד יכולים לשנות קבצים אלו, מה שיגרום לתהליכים חדשים הפועלים באותה סביבה להתבצע ללא החלת מסנן קריאות המערכת;
• מסנן memory-deny-write-execute מבטיח שהקריאה "memfd_create" חסומה;
• נוספה אפשרות חדשה "private-cwd" כדי לשנות את ספריית העבודה לכלא;
• נוספה אפשרות "--nodbus" לחסימת שקעי D-Bus;
• החזירה תמיכה עבור CentOS 6;
• הופסק תמיכה בחבילות בפורמטים Flatpak и לצלם.
  מסומןשהחבילות הללו צריכות להשתמש בכלי עבודה משלהן;

• פרופילים חדשים נוספו כדי לבודד 87 תוכניות נוספות, כולל mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp וקנטטה.

מקור: OpenNet.ru