Сенімсіз немесе ықтимал осал бағдарламаларды іске қосу кезінде негізгі жүйені бұзу қаупін азайтуға мүмкіндік беретін графикалық, консольдық және серверлік қосымшаларды оқшауланған орындау жүйесін әзірлейтін Firejail 0.9.72 жобасының шығарылымы жарияланды. Бағдарлама C тілінде жазылған, GPLv2 лицензиясы бойынша таратылады және ядросы 3.0-ден асқан кез келген Linux дистрибутивінде жұмыс істей алады. Дайын Firejail пакеттері deb (Debian, Ubuntu) және rpm (CentOS, Fedora) форматтарында дайындалады.
Оқшаулау үшін Firejail Linux жүйесінде аттар кеңістігін, AppArmor және жүйелік қоңырауларды сүзуді (seccomp-bpf) пайдаланады. Іске қосылғаннан кейін бағдарлама және оның барлық еншілес процестері желілік стек, процестер кестесі және бекіту нүктелері сияқты ядро ресурстарының бөлек көріністерін пайдаланады. Бір-біріне тәуелді қолданбаларды бір жалпы құм жәшігіне біріктіруге болады. Қажет болса, Firejail Docker, LXC және OpenVZ контейнерлерін іске қосу үшін де пайдаланылуы мүмкін.
Контейнерді оқшаулау құралдарынан айырмашылығы, firejail конфигурациялауда өте қарапайым және жүйелік кескінді дайындауды қажет етпейді - контейнер құрамы ағымдағы файлдық жүйенің мазмұны негізінде жылдам қалыптасады және қолданба аяқталғаннан кейін жойылады. Файлдық жүйеге қатынау ережелерін орнатудың икемді құралдары қамтамасыз етілген; сіз қандай файлдар мен каталогтарға рұқсат етілгенін немесе рұқсат етілмегенін анықтай аласыз, деректер үшін уақытша файлдық жүйелерді (tmpfs) қоса аласыз, файлдарға немесе каталогтарға тек оқуға рұқсатты шектеуге, каталогтарды біріктіруге болады. bind-mount and overlayfs.
Firefox, Chromium, VLC және Transmission сияқты көптеген танымал қосымшалар үшін дайын жүйелік қоңырауларды оқшаулау профильдері дайындалған. Құм жәшігін орнатуға қажетті артықшылықтарды алу үшін firejail орындалатын файлы SUID түбірлік жалаушасымен орнатылады (артықшылықтар инициализациядан кейін қалпына келтіріледі). Бағдарламаны оқшаулау режимінде іске қосу үшін жай ғана firejail утилитасына аргумент ретінде қолданба атын көрсетіңіз, мысалы, “firejail firefox” немесе “sudo firejail /etc/init.d/nginx start”.
Жаңа шығарылымда:
- Жүйелік қоңыраулар үшін аттар кеңістігінің жасалуын блоктайтын секкомп сүзгісі қосылды (қосу үшін “--restrict-namespaces” опциясы қосылды). Жаңартылған жүйелік қоңыраулар кестелері мен секком топтары.
- Жаңа процестердің қосымша артықшылықтарға ие болуына жол бермейтін жетілдірілген force-nonewprivs режимі (NO_NEW_PRIVS).
- Жеке AppArmor профильдерін пайдалану мүмкіндігі қосылды (қосылу үшін «--apparmor» опциясы ұсынылады).
- Әрбір мекенжайдан IP және трафик қарқындылығы туралы ақпаратты көрсететін nettrace желілік трафикті қадағалау жүйесі ICMP қолдауын жүзеге асырады және «--dnstrace», «--icmptrace» және «--snitrace» опцияларын ұсынады.
- --cgroup және --shell пәрмендері жойылды (әдепкі --shell=none). Firetunnel құрастыру әдепкі бойынша тоқтатылады. /etc/firejail/firejail.config ішінде өшірілген chroot, private-lib және tracelog параметрлері. grsecurity қолдауы тоқтатылды.
Ақпарат көзі: opennet.ru