プロホスト > ブログ > インターネットニュース > Firejail 0.9.62 アプリケーション分離リリース

Firejail 0.9.62 アプリケーション分離リリース

XNUMXか月の開発期間を経て 利用可能です プロジェクトのリリース ファイアジェイル 0.9.62その中で、グラフィカル アプリケーション、コンソール アプリケーション、およびサーバー アプリケーションを分離して実行するためのシステムが開発されています。 Firejail を使用すると、信頼できないプログラムや潜在的に脆弱なプログラムを実行するときにメイン システムが侵害されるリスクを最小限に抑えることができます。 プログラムはC言語で書かれており、 によって配布 GPLv2 に基づいてライセンスが付与されており、3.0 より古いカーネルを搭載した Linux ディストリビューション上で実行できます。 Firejail を使用した準備完了パッケージ 準備された deb (Debian、Ubuntu) および rpm (CentOS、Fedora) 形式。

Firejailでの隔離用 使用されている Linux の名前空間、AppArmor、およびシステム コール フィルタリング (seccomp-bpf)。 起動すると、プログラムとそのすべての子プロセスは、ネットワーク スタック、プロセス テーブル、マウント ポイントなどのカーネル リソースの個別のビューを使用します。 相互に依存するアプリケーションを XNUMX つの共通のサンドボックスに結合できます。 必要に応じて、Firejail を使用して Docker、LXC、OpenVZ コンテナを実行することもできます。

コンテナ断熱ツールとは異なり、Firejall は非常に強力です。 シンプル 構成内にあり、システム イメージの準備を必要としません。コンテナ構成は、現在のファイル システムの内容に基づいてオンザフライで作成され、アプリケーションの完了後に削除されます。 ファイル システムへのアクセス ルールを設定する柔軟な手段が提供されており、アクセスを許可または拒否するファイルとディレクトリを決定したり、データ用に一時ファイル システム (tmpfs) に接続したり、ファイルやディレクトリへのアクセスを読み取り専用に制限したり、ディレクトリを結合したりできます。バインドマウントとoverlayfs。

Firefox、Chromium、VLC、Transmission などの多数の一般的なアプリケーションに対して、既製の プロフィール システムコールの分離。 サンドボックス環境のセットアップに必要な権限を取得するには、firejail 実行可能ファイルが SUID ルート フラグを使用してインストールされます (権限は初期化後にリセットされます)。 プログラムを分離モードで実行するには、アプリケーション名を firejail ユーティリティへの引数として指定するだけです (例: 「firejail firefox」または「sudo firejail /etc/init.d/nginx start」)。

新しいリリースでは:

  • 設定ファイル /etc/firejail/firejail.config 内 追加した file-copy-limit 設定では、「--private-*」オプションを使用するときにメモリにコピーされるファイルのサイズを制限できます (デフォルトでは、制限は 500MB に設定されています)。
  • 新しいアプリケーション制限プロファイルを作成するためのテンプレートが /usr/share/doc/firejail ディレクトリに追加されました。
  • プロファイルによりデバッガの使用が可能になります。
  • seccomp メカニズムを使用したシステム コールのフィルタリングが改善されました。
  • コンパイラ フラグの自動検出が提供されます。
  • chroot 呼び出しはパスに基づいて行われるのではなく、ファイル記述子に基づいてマウント ポイントを使用して行われるようになりました。
  • /usr/share ディレクトリは、さまざまなプロファイルによってホワイトリストに登録されます。
  • 新しいヘルパー スクリプト gdb-firejail.sh と sort.py が conrib セクションに追加されました。
  • 特権コード(SUID)の実行段階での保護を強化しました。
  • プロファイルについては、X サーバーとネットワーク アクセスの存在をチェックするために、新しい条件属性 HAS_X11 および HAS_NET が実装されました。
  • アプリケーションを分離して起動するためのプロファイルを追加しました (プロファイルの総数は 884 に増加しました)。
    • i2p、
    • Tor ブラウザ (AUR)、
    • チューリップ、
    • rsync
    • シグナル-cli
    • tcpdump
    • ツァーク、
    • qgis
    • オープンアリーナ、
    • ゴドー、
    • クラテックス式、
    • klatexformula_cmdl、
    • リンク、
    • xリンク、
    • パンドック
    • Linux 用チーム、
    • gnome サウンド レコーダー、
    • ニュースバター、
    • keepassxc-cli、
    • keepassxc-プロキシ、
    • リズムボックスクライアント、
    • ジェリー
    • 熱意、
    • mpg123、
    • 遊ぶ、
    • mpg123.bin、
    • mpg123-alsa、
    • mpg123-id3dump、
    • アウト123、
    • mpg123-ジャック、
    • mpg123-nas、
    • mpg123-openal、
    • mpg123-oss、
    • mpg123-ポートオーディオ、
    • mpg123-パルス、
    • mpg123-ストリップ、
    • pavucontrol-qt、
    • ノームのキャラクター、
    • gnome 文字マップ、
    • クジラ鳥
    • TB スターター ラッパー、
    • ビズキャット、
    • キウィックスデスクトップ、
    • ビズキャット、
    • zstd、
    • pzstd、
    • zstdcat、
    • zstdgrep、
    • zstdless、
    • zstdmt、
    • unzstd、
    • ar、
    • ノームラテックス、
    • pngquant
    • 代数
    • カルゲブラモービル、
    • 甘やかされた
    • 見つけます、
    • 冒涜
    • オーディオレコーダ、
    • カメラモニター
    • ddgtk
    • ドローリオ、
    • アンフ、
    • GMPC、
    • 電子メール、
    • 要旨
    • 要点ペースト。

出所: オープンネット.ru

コメントを追加します