жобаның шығарылымы , оның ішінде графикалық, консольдық және серверлік қосымшаларды оқшаулау үшін жүйе әзірленуде. Firejail пайдалану сенімсіз немесе ықтимал осал бағдарламаларды іске қосу кезінде негізгі жүйенің бұзылуын азайтуға мүмкіндік береді. Бағдарлама Си тілінде жазылған, GPLv2 бойынша лицензияланған және ядросы 3.0-ден асқан кез келген Linux дистрибутивінде жұмыс істей алады. Firejail бар дайын пакеттер deb (Debian, Ubuntu) және rpm (CentOS, Fedora) пішімінде.
Firejail-де оқшаулау үшін аттар кеңістігі, AppArmor және Linux жүйесінде жүйелік шақыруды сүзу (seccomp-bpf). Іске қосылғаннан кейін бағдарлама және оның барлық еншілес процестері желілік стек, процестер кестесі және бекіту нүктелері сияқты ядро ресурстарының бөлек көріністерін пайдаланады. Бір-біріне тәуелді қолданбаларды бір жалпы құм жәшігіне біріктіруге болады. Қажет болса, Firejail Docker, LXC және OpenVZ контейнерлерін іске қосу үшін де пайдаланылуы мүмкін.
Контейнерді оқшаулау құралдарынан айырмашылығы, от жағу өте жақсы конфигурацияда және жүйелік кескінді дайындауды қажет етпейді - контейнер құрамы ағымдағы файлдық жүйенің мазмұны негізінде жылдам қалыптасады және қолданба аяқталғаннан кейін жойылады. Файлдық жүйеге қатынау ережелерін орнатудың икемді құралдары қамтамасыз етілген; сіз қандай файлдар мен каталогтарға рұқсат етілгенін немесе рұқсат етілмегенін анықтай аласыз, деректер үшін уақытша файлдық жүйелерді (tmpfs) қоса аласыз, файлдарға немесе каталогтарға тек оқуға рұқсатты шектеуге, каталогтарды біріктіруге болады. bind-mount and overlayfs.
Көптеген танымал қолданбалар үшін, соның ішінде Firefox, Chromium, VLC және Transmission, дайын жүйелік қоңырауды оқшаулау. Бағдарламаны оқшаулау режимінде іске қосу үшін жай ғана firejail утилитасына аргумент ретінде қолданба атын көрсетіңіз, мысалы, “firejail firefox” немесе “sudo firejail /etc/init.d/nginx start”.
Жаңа шығарылымда:
- Зиянды процеске жүйелік қоңырауларды шектеу механизмін айналып өтуге мүмкіндік беретін осалдық түзетілді. Осалдықтың мәні Seccomp сүзгілері оқшауланған ортада жазылатын /run/firejail/mnt каталогына көшіріледі. Оқшаулау режимінде жұмыс істейтін зиянды процестер бұл файлдарды өзгерте алады, бұл бір ортада іске қосылған жаңа процестердің жүйелік шақыру сүзгісін қолданбай орындалуына әкеледі;
- Жадтан бас тарту-жазу-орындау сүзгісі “memfd_create” шақыруының блокталғанын қамтамасыз етеді;
- Түрмеге арналған жұмыс каталогын өзгерту үшін "private-cwd" жаңа опциясы қосылды;
- D-Bus ұяшықтарын блоктау үшін "--nodbus" опциясы қосылды;
- CentOS 6 үшін қайтарылған қолдау;
- пішімдегі бумаларды қолдау и .
бұл пакеттер өздерінің құралдарды пайдалануы керек; - 87 қосымша бағдарламаларды оқшаулау үшін жаңа профильдер қосылды, соның ішінде mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-редактор, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-планкер, freeoffice-презентациялар, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp және кантата.
Ақпарат көзі: opennet.ru