ការដោះលែងកម្មវិធី Firejail 0.9.72

ការចេញផ្សាយគម្រោង Firejail 0.9.72 ត្រូវបានបោះពុម្ព ដែលបង្កើតប្រព័ន្ធសម្រាប់ការប្រតិបត្តិដាច់ដោយឡែកនៃកម្មវិធីក្រាហ្វិក កុងសូល និងម៉ាស៊ីនមេ ដែលអនុញ្ញាតឱ្យកាត់បន្ថយហានិភ័យនៃការសម្របសម្រួលប្រព័ន្ធមេ នៅពេលដំណើរការកម្មវិធីដែលមិនគួរឱ្យទុកចិត្ត ឬងាយរងគ្រោះ។ កម្មវិធីនេះត្រូវបានសរសេរជា C ដែលចែកចាយក្រោមអាជ្ញាប័ណ្ណ GPLv2 ហើយអាចដំណើរការលើការចែកចាយលីនុចណាមួយដែលមានខឺណែលចាស់ជាង 3.0។ កញ្ចប់ Firejail ដែលផលិតរួចរាល់ត្រូវបានរៀបចំជាទម្រង់ deb (Debian, Ubuntu) និង rpm (CentOS, Fedora) ។

សម្រាប់ភាពឯកោ Firejail ប្រើ namespaces, AppArmor, និងការហៅតាមប្រព័ន្ធ (seccomp-bpf) នៅលើលីនុច។ នៅពេលចាប់ផ្តើមកម្មវិធី និងដំណើរការកូនរបស់វាទាំងអស់ប្រើប្រាស់ទិដ្ឋភាពដាច់ដោយឡែកនៃធនធានខឺណែល ដូចជាជង់បណ្តាញ តារាងដំណើរការ និងចំណុចម៉ោន។ កម្មវិធី​ដែល​ពឹង​ផ្អែក​លើ​គ្នា​ទៅ​វិញ​ទៅ​មក​អាច​ត្រូវ​បាន​បញ្ចូល​ក្នុង​ប្រអប់​ខ្សាច់​ធម្មតា​មួយ។ ប្រសិនបើចង់បាន Firejail ក៏អាចប្រើដើម្បីដំណើរការ Docker, LXC និង OpenVZ containers ផងដែរ។

មិនដូចឧបករណ៍ឯកោកុងតឺន័រទេ គុកភ្លើងគឺសាមញ្ញបំផុតក្នុងការកំណត់ ហើយមិនត្រូវការការរៀបចំរូបភាពប្រព័ន្ធទេ សមាសភាពកុងតឺន័រត្រូវបានបង្កើតឡើងភ្លាមៗដោយផ្អែកលើខ្លឹមសារនៃប្រព័ន្ធឯកសារបច្ចុប្បន្ន ហើយត្រូវបានលុបបន្ទាប់ពីកម្មវិធីត្រូវបានបញ្ចប់។ មធ្យោបាយដែលអាចបត់បែនបានក្នុងការកំណត់ច្បាប់ចូលប្រើប្រព័ន្ធឯកសារត្រូវបានផ្តល់ជូន អ្នកអាចកំណត់ថាតើឯកសារ និងថតណាមួយត្រូវបានអនុញ្ញាត ឬបដិសេធការចូលប្រើ ភ្ជាប់ប្រព័ន្ធឯកសារបណ្តោះអាសន្ន (tmpfs) សម្រាប់ទិន្នន័យ កំណត់ការចូលប្រើឯកសារ ឬថតឯកសារដើម្បីតែអាន រួមបញ្ចូលគ្នានូវថតតាមរយៈ bind-mount និង overlayfs ។

សម្រាប់កម្មវិធីដ៏ពេញនិយមមួយចំនួនធំ រួមទាំង Firefox, Chromium, VLC និង Transmission ទម្រង់ឯកោការហៅតាមប្រព័ន្ធដែលត្រៀមរួចជាស្រេចត្រូវបានរៀបចំឡើង។ ដើម្បីទទួលបានសិទ្ធិចាំបាច់ក្នុងការរៀបចំបរិយាកាស sandboxed នោះ firejail executable ត្រូវបានដំឡើងជាមួយ SUID root flag (សិទ្ធិត្រូវបានកំណត់ឡើងវិញបន្ទាប់ពីការចាប់ផ្តើម)។ ដើម្បីដំណើរការកម្មវិធីក្នុងរបៀបឯកោ អ្នកគ្រាន់តែបញ្ជាក់ឈ្មោះកម្មវិធីជាអាគុយម៉ង់ទៅកាន់ឧបករណ៍ប្រើប្រាស់ firejail ឧទាហរណ៍ "firejail firefox" ឬ "sudo firejail /etc/init.d/nginx start" ។

នៅក្នុងការចេញផ្សាយថ្មី:

• បានបន្ថែមតម្រង seccomp សម្រាប់ការហៅប្រព័ន្ធដែលរារាំងការបង្កើត namespaces (ជម្រើស "--restrict-namespaces" ត្រូវបានបន្ថែមដើម្បីបើក)។ បានធ្វើបច្ចុប្បន្នភាពតារាងហៅប្រព័ន្ធ និងក្រុម seccomp ។
• ធ្វើឱ្យប្រសើរឡើងនូវមុខងារ force-nonewprivs (NO_NEW_PRIVS) ដែលការពារដំណើរការថ្មីពីការទទួលបានសិទ្ធិបន្ថែម។
• បានបន្ថែមសមត្ថភាពក្នុងការប្រើទម្រង់ AppArmor ផ្ទាល់ខ្លួនរបស់អ្នក (ជម្រើស "--apparmor" ត្រូវបានផ្តល់ជូនសម្រាប់ការតភ្ជាប់) ។
• ប្រព័ន្ធតាមដានចរាចរណ៍បណ្តាញ nettrace ដែលបង្ហាញព័ត៌មានអំពី IP និងអាំងតង់ស៊ីតេចរាចរណ៍ពីអាសយដ្ឋាននីមួយៗ អនុវត្តការគាំទ្រ ICMP និងផ្តល់នូវជម្រើស "--dnstrace", "--icmptrace" និង "--snitrace" ។
• ពាក្យបញ្ជា --cgroup និង --shell ត្រូវបានដកចេញ (លំនាំដើមគឺ --shell=none)។ ការស្ថាបនា Firetunnel ត្រូវបានបញ្ឈប់តាមលំនាំដើម។ បានបិទដំណើរការ chroot, private-lib និង tracelog settings នៅក្នុង /etc/firejail/firejail.config ។ ការគាំទ្រផ្នែកសុវត្ថិភាពត្រូវបានបញ្ឈប់។

ប្រភព: opennet.ru