release proyek , ing ngendi sistem dikembangake kanggo eksekusi aplikasi grafis, konsol lan server sing terisolasi. Nggunakake Firejail ngidini sampeyan nyilikake risiko kompromi sistem utama nalika mbukak program sing ora bisa dipercaya utawa duweni potensi rentan. Program kasebut ditulis ing basa C, dilisensi ing GPLv2 lan bisa mlaku ing distribusi Linux apa wae kanthi kernel sing luwih lawas tinimbang 3.0. Paket siap karo Firejail ing format deb (Debian, Ubuntu) lan rpm (CentOS, Fedora).
Kanggo isolasi ing Firejail namespaces, AppArmor, lan nyaring panggilan sistem (seccomp-bpf) ing Linux. Sawise diluncurake, program lan kabeh proses anak nggunakake tampilan sumber kernel sing kapisah, kayata tumpukan jaringan, tabel proses, lan titik gunung. Aplikasi sing gumantung ing siji liyane bisa digabung dadi siji kothak wedhi umum. Yen dikarepake, Firejail uga bisa digunakake kanggo mbukak wadah Docker, LXC lan OpenVZ.
Ora kaya alat insulasi wadhah, jail api banget ing konfigurasi lan ora mbutuhake nyiapake gambar sistem - komposisi wadhah dibentuk kanthi cepet adhedhasar isi sistem file saiki lan dibusak sawise aplikasi rampung. Sarana fleksibel kanggo nyetel aturan akses menyang sistem file diwenehake; sampeyan bisa nemtokake file lan direktori sing diidini utawa ditolak akses, nyambungake sistem file sementara (tmpfs) kanggo data, matesi akses menyang file utawa direktori dadi mung diwaca, gabungke direktori liwat bind-mount lan overlayfs.
Kanggo akeh aplikasi populer, kalebu Firefox, Chromium, VLC lan Transmisi, siap digawe isolasi panggilan sistem. Kanggo mbukak program ing mode isolasi, cukup nemtokake jeneng aplikasi minangka argumen kanggo sarana firejail, contone, "firejail firefox" utawa "sudo firejail /etc/init.d/nginx start".
Ing release anyar:
- Kerentanan sing ngidini proses angkoro kanggo ngliwati mekanisme watesan telpon sistem wis diatasi. Inti saka kerentanan yaiku saringan Seccomp disalin menyang direktori / run / firejail / mnt, sing bisa ditulis ing lingkungan sing terisolasi. Pangolahan ala sing mlaku ing mode isolasi bisa ngowahi file kasebut, sing bakal nyebabake proses anyar sing mlaku ing lingkungan sing padha bakal ditindakake tanpa nggunakake filter panggilan sistem;
- Filter memory-deny-write-execute mesthekake yen telpon "memfd_create" diblokir;
- Nambahake pilihan anyar "private-cwd" kanggo ngganti direktori kerja kanggo kunjara;
- Ditambahake "--nodbus" pilihan kanggo mblokir soket D-Bus;
- Dhukungan bali kanggo CentOS 6;
- dhukungan kanggo paket ing format ΠΈ .
sing paket iki kudu nggunakake perkakas dhewe; - Profil anyar wis ditambahake kanggo ngisolasi 87 program tambahan, kalebu mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp lan cantata.
Source: opennet.ru