Firejail 0.9.72 プロジェクトのリリースが公開されました。このプロジェクトは、グラフィカル アプリケーション、コンソール アプリケーション、およびサーバー アプリケーションを分離して実行するためのシステムを開発し、信頼できないプログラムや潜在的に脆弱なプログラムを実行するときにメイン システムが侵害されるリスクを最小限に抑えることができます。 このプログラムは C で書かれており、GPLv2 ライセンスの下で配布されており、3.0 より古いカーネルを搭載した Linux ディストリビューション上で実行できます。 既製の Firejail パッケージは、deb (Debian、Ubuntu) および rpm (CentOS、Fedora) 形式で用意されています。
分離のために、Firejail は Linux 上で名前空間、AppArmor、およびシステム コール フィルタリング (seccomp-bpf) を使用します。 起動すると、プログラムとそのすべての子プロセスは、ネットワーク スタック、プロセス テーブル、マウント ポイントなどのカーネル リソースの個別のビューを使用します。 相互に依存するアプリケーションを XNUMX つの共通のサンドボックスに結合できます。 必要に応じて、Firejail を使用して Docker、LXC、OpenVZ コンテナを実行することもできます。
コンテナ分離ツールとは異なり、firejail は設定が非常に簡単で、システム イメージの準備を必要としません。コンテナ構成は、現在のファイル システムの内容に基づいてオンザフライで形成され、アプリケーションの完了後に削除されます。 ファイル システムへのアクセス ルールを設定する柔軟な手段が提供されており、アクセスを許可または拒否するファイルとディレクトリを決定したり、データ用に一時ファイル システム (tmpfs) に接続したり、ファイルやディレクトリへのアクセスを読み取り専用に制限したり、ディレクトリを結合したりできます。バインドマウントとoverlayfs。
Firefox、Chromium、VLC、Transmission などの多数の一般的なアプリケーション向けに、既製のシステム コール分離プロファイルが用意されています。 サンドボックス環境のセットアップに必要な権限を取得するには、firejail 実行可能ファイルが SUID ルート フラグを使用してインストールされます (権限は初期化後にリセットされます)。 プログラムを分離モードで実行するには、アプリケーション名を firejail ユーティリティの引数として指定するだけです (例: 「firejail firefox」または「sudo firejail /etc/init.d/nginx start」)。
新しいリリースでは:
- ネームスペースの作成をブロックするシステムコール用の seccomp フィルターを追加しました (有効にするために「--restrict-namespaces」オプションが追加されました)。 システムコールテーブルとseccompグループを更新しました。
- 新しいプロセスが追加の権限を取得するのを防ぐ、force-nonewprivs モード (NO_NEW_PRIVS) が改善されました。
- 独自の AppArmor プロファイルを使用する機能が追加されました (接続には「--apparmor」オプションが提供されます)。
- nettrace ネットワーク トラフィック追跡システムは、各アドレスからの IP およびトラフィック強度に関する情報を表示し、ICMP サポートを実装し、「--dnstrace」、「--icmptrace」、および「--snitrace」オプションを提供します。
- --cgroup および --shell コマンドは削除されました (デフォルトは --shell=none)。 Firetunnel ビルドはデフォルトで停止します。 /etc/firejail/firejail.config の chroot、private-lib、tracelog 設定を無効にしました。 grsecurity のサポートは廃止されました。
出所: オープンネット.ru