แแแแแฅแแแงแแแ Firejail 0.9.72 แแ แแแฅแขแแก แแแแแจแแแแ, แ แแแแแแช แแแแแแ แแแก แกแแกแขแแแแก แแ แแคแแแฃแแ, แแแแกแแแแกแ แแ แกแแ แแแ แแก แแแแแแแชแแแแแก แแแแแแ แแแฃแแ แจแแกแ แฃแแแแแกแแแแก, แ แแช แกแแจแฃแแแแแแก แแซแแแแ แแแแแแฃแแแแแ แแแแงแแแแแก แซแแ แแแแแ แกแแกแขแแแแก แแแแแ แแแแขแแ แแแแก แ แแกแแ แแ แแกแแแแ แแ แแแขแแแชแแฃแ แแ แแแฃแชแแแแ แแ แแแ แแแแแแก แแแจแแแแแกแแก. แแ แแแ แแแ แแแฌแแ แแแแ C-แแ, แแแแแฌแแแแแฃแแแ GPLv2 แแแชแแแแแแ แแ แจแแแซแแแแ แแแฃแจแแแก Linux-แแก แแแแแกแแแแ แแแกแขแ แแแฃแชแแแแ 3.0-แแ แซแแแแ แแแ แแแแ. แแแ Firejail แแแแแขแแแ แแแแแแแแ deb (Debian, Ubuntu) แแ rpm (CentOS, Fedora) แคแแ แแแขแแแจแ.
แแแแแแชแแแกแแแแก Firejail แแงแแแแแก แกแแฎแแแแ แกแแแ แชแแแแก, AppArmor-แก แแ แกแแกแขแแแฃแ แ แแแ แแแแก แคแแแขแ แแชแแแก (seccomp-bpf) Linux-แแ. แแแจแแแแแก แจแแแแแ, แแ แแแ แแแ แแ แแแกแ แงแแแแ แจแแแแแแแแ แแ แแชแแกแ แแงแแแแแก แแแ แแแแก แ แแกแฃแ แกแแแแก แชแแแแแฃแ แฎแแแแแก, แ แแแแ แแชแแ แฅแกแแแแก แกแขแแแ, แแ แแชแแกแแก แชแฎแ แแแ แแ แกแแแแแขแแแ แฌแแ แขแแแแแ. แแแแแแแชแแแแ, แ แแแแแแแช แแ แแแแแแแแแ แแแแแแแแแแฃแแ, แจแแแซแแแแ แแแแ แแแแแแแก แแ แ แกแแแ แแ แกแแแแ แฏแแจแแจแ. แแฃ แกแแกแฃแ แแแแแ, Firejail แแกแแแ แจแแแซแแแแ แแแแแงแแแแแฃแ แแฅแแแก Docker, LXC แแ OpenVZ แแแแขแแแแแ แแแแก แแแกแแจแแแแแ.
แแแแขแแแแแ แแก แแแแแแชแแแก แฎแแแกแแฌแงแแแแแกแแแ แแแแกแฎแแแแแแแ, firejail แซแแแแแ แแแ แขแแแแ แแแแคแแแฃแ แแชแแแกแแแแก แแ แแ แกแแญแแ แแแแก แกแแกแขแแแแก แแแแแกแแฎแฃแแแแแก แแแแแแแแแแก - แแแแขแแแแแ แแก แแแแแแแแชแแ แแฅแแแแแ แแแแแแแแ แ แคแแแแฃแ แ แกแแกแขแแแแก แจแแแแแ แกแแก แกแแคแฃแซแแแแแ แแ แฌแแแจแแแแ แแแแแชแฎแแแแก แแแกแ แฃแแแแแก แจแแแแแ. แแแฌแแแแแฃแแแ แคแแแแฃแ แกแแกแขแแแแจแ แฌแแแแแแก แฌแแกแแแแก แแแงแแแแแแก แแแฅแแแแ แกแแจแฃแแแแแแแ; แแฅแแแ แจแแแแซแแแแ แแแแกแแแฆแแ แแ, แ แแแแ แคแแแแแแกแ แแ แแแ แแฅแขแแ แแแจแ แแ แแก แแแจแแแแฃแแ แแ แแแ แซแแแฃแแ แฌแแแแแ, แแแแแแแจแแ แแ แแ แแแแแแ แคแแแแฃแ แ แกแแกแขแแแแแ (tmpfs) แแแแแชแแแแแแกแแแแก, แจแแแฆแฃแแแ แฌแแแแแ แคแแแแแแแ แแ แแแ แแฅแขแแ แแแแแ แแฎแแแแ แฌแแแแแฎแแแแ, แแแแแแแจแแ แแ แแแ แแฅแขแแ แแแแ. bind-mount แแ overlayfs.
แแแแ แ แแแแแแแแแ แแแแฃแแแ แฃแแ แแแแแแแชแแแแแกแแแแก, แแแ แจแแ แแก Firefox, Chromium, VLC แแ Transmission, แแแแแแแแ แแแ แกแแกแขแแแฃแ แ แแแ แแก แแแแแแชแแแก แแ แแคแแแแแ. Sandboxed แแแ แแแแก แแแกแแงแแแแแแแ แกแแญแแ แ แแ แแแแแแแแแแแก แแแกแแฆแแแแ, firejail แจแแกแ แฃแแแแแแ แแแแแกแขแแแแ แแแฃแแแ SUID root แแ แแจแแ (แแ แแแแแแแแแแ แแฆแแแแแ แแแแชแแแแแแแชแแแก แจแแแแแ). แแ แแแ แแแแก แแแแแแชแแแก แ แแแแแจแ แแแกแแจแแแแแ, แฃแแ แแแแ แแแฃแแแแแ แแแแแแแชแแแก แกแแฎแแแ, แ แแแแ แช แแ แแฃแแแแขแ firejail แฃแขแแแแขแแจแ, แแแแแแแแแ, โfirejail firefoxโ แแ โsudo firejail /etc/init.d/nginx startโ.
แแฎแแ แแแแแชแแแแจแ:
- แแแแแขแแแฃแแแ seccomp แคแแแขแ แ แกแแกแขแแแฃแ แ แแแ แแแแกแแแแก, แ แแแแแแช แแแแแแแก แกแแฎแแแแ แกแแแ แชแแก แจแแฅแแแแก (แฉแแกแแ แแแแแ แแแแแขแแแฃแแแ แแคแชแแ โ--restrict-namespacesโ). แแแแแฎแแแแฃแแแ แกแแกแขแแแฃแ แ แแแ แแแแก แชแฎแ แแแแแ แแ seccomp แฏแแฃแคแแแ.
- แแแฃแแฏแแแแกแแแฃแแ แแซแฃแแแแแแ-nonewprivs แ แแแแแ (NO_NEW_PRIVS), แ แแแแแแช แฎแแแก แฃแจแแแก แแฎแแ แแ แแชแแกแแแก แแแแแขแแแแแ แแ แแแแแแแแแแแก แแแแแแแแแจแ.
- แแแแแขแแแฃแแแ แแฅแแแแ แกแแแฃแแแ แ AppArmor แแ แแคแแแแแแก แแแแแงแแแแแแก แจแแกแแซแแแแแแแ (แแแแแแจแแ แแแแกแแแแก แจแแแแแแแแแแแฃแแแ "--apparmor" แแแ แแแแขแ).
- nettrace แฅแกแแแแก แขแ แแคแแแแก แแแแแแแแแแก แกแแกแขแแแ, แ แแแแแแช แแฉแแแแแแก แแแคแแ แแแชแแแก IP แแ แขแ แแคแแแแก แแแขแแแกแแแแแแก แจแแกแแฎแแ แแแแแแฃแแ แแแกแแแแ แแแแแ, แแฎแแ แชแแแแแแก ICMP แแฎแแ แแแญแแ แแก แแ แแแแแแแแแ "--dnstrace", "--icmptrace" แแ "--snitrace" แแแ แแแแขแแแก.
- --cgroup แแ --shell แแ แซแแแแแแแ แแแแฆแแแฃแแแ (แแแแฃแแแกแฎแแแแ แแ แแก --shell=none). Firetunnel-แแก แแจแแแแแ แแแแฃแแแกแฎแแแแแ แจแแฉแแ แแแฃแแแ. แแแแแ แแฃแแแ chroot-แแก, private-lib แแ tracelog แแแ แแแแขแ แแแแก /etc/firejail/firejail.config. grsecurity-แแก แแฎแแ แแแญแแ แ แจแแฌแงแแ.
แฌแงแแ แ: opennet.ru