ಯೋಜನೆಯ ಬಿಡುಗಡೆ , ಅದರೊಳಗೆ ಗ್ರಾಫಿಕಲ್, ಕನ್ಸೋಲ್ ಮತ್ತು ಸರ್ವರ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಪ್ರತ್ಯೇಕ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಗಾಗಿ ಸಿಸ್ಟಮ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗುತ್ತಿದೆ. ಫೈರ್ಜೈಲ್ ಅನ್ನು ಬಳಸುವುದರಿಂದ ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಅಥವಾ ಸಂಭಾವ್ಯ ದುರ್ಬಲ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಚಾಲನೆ ಮಾಡುವಾಗ ಮುಖ್ಯ ಸಿಸ್ಟಮ್ಗೆ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಸಿ ಭಾಷೆಯಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, GPLv2 ಅಡಿಯಲ್ಲಿ ಪರವಾನಗಿ ಪಡೆದಿದೆ ಮತ್ತು ಯಾವುದೇ ವಿತರಣೆಯಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸಬಹುದು Linux 3.0 ಗಿಂತ ಹಳೆಯದಾದ ಕರ್ನಲ್ನೊಂದಿಗೆ. ಫೈರ್ಜೈಲ್ನೊಂದಿಗೆ ಸಿದ್ಧ ಪ್ಯಾಕೇಜ್ಗಳು deb ಸ್ವರೂಪಗಳಲ್ಲಿ (Debian, Ubuntu) ಮತ್ತು rpm (CentOS, ಫೆಡೋರಾ).
ಫೈರ್ ಜೈಲಿನಲ್ಲಿ ಪ್ರತ್ಯೇಕತೆಗಾಗಿ ನೇಮ್ಸ್ಪೇಸ್ಗಳು, AppArmor, ಮತ್ತು ಸಿಸ್ಟಮ್ ಕರೆ ಫಿಲ್ಟರಿಂಗ್ (seccomp-bpf) ನಲ್ಲಿ Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
ಕಂಟೇನರ್ ಇನ್ಸುಲೇಶನ್ ಉಪಕರಣಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿ, ಫೈರ್ಜೈಲ್ ಅತ್ಯಂತ ಹೆಚ್ಚು ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಮತ್ತು ಸಿಸ್ಟಮ್ ಇಮೇಜ್ ಅನ್ನು ಸಿದ್ಧಪಡಿಸುವ ಅಗತ್ಯವಿಲ್ಲ - ಪ್ರಸ್ತುತ ಫೈಲ್ ಸಿಸ್ಟಮ್ನ ವಿಷಯಗಳ ಆಧಾರದ ಮೇಲೆ ಕಂಟೇನರ್ ಸಂಯೋಜನೆಯು ಫ್ಲೈನಲ್ಲಿ ರೂಪುಗೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಪೂರ್ಣಗೊಂಡ ನಂತರ ಅದನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ. ಫೈಲ್ ಸಿಸ್ಟಮ್ಗೆ ಪ್ರವೇಶ ನಿಯಮಗಳನ್ನು ಹೊಂದಿಸುವ ಹೊಂದಿಕೊಳ್ಳುವ ವಿಧಾನಗಳನ್ನು ಒದಗಿಸಲಾಗಿದೆ; ಯಾವ ಫೈಲ್ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ ಅಥವಾ ನಿರಾಕರಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನೀವು ನಿರ್ಧರಿಸಬಹುದು, ಡೇಟಾಕ್ಕಾಗಿ ತಾತ್ಕಾಲಿಕ ಫೈಲ್ ಸಿಸ್ಟಮ್ಗಳನ್ನು (tmpfs) ಸಂಪರ್ಕಿಸಬಹುದು, ಫೈಲ್ಗಳು ಅಥವಾ ಡೈರೆಕ್ಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಓದಲು ಮಾತ್ರ ಸೀಮಿತಗೊಳಿಸಬಹುದು, ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಸಂಯೋಜಿಸಬಹುದು ಬೈಂಡ್-ಮೌಂಟ್ ಮತ್ತು ಓವರ್ಲೇಫ್ಗಳು.
ಫೈರ್ಫಾಕ್ಸ್, ಕ್ರೋಮಿಯಂ, ವಿಎಲ್ಸಿ ಮತ್ತು ಟ್ರಾನ್ಸ್ಮಿಷನ್ ಸೇರಿದಂತೆ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಜನಪ್ರಿಯ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಸಿದ್ಧವಾಗಿದೆ ಸಿಸ್ಟಮ್ ಕರೆ ಪ್ರತ್ಯೇಕತೆ. ಐಸೊಲೇಶನ್ ಮೋಡ್ನಲ್ಲಿ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಚಲಾಯಿಸಲು, ಅಪ್ಲಿಕೇಶನ್ ಹೆಸರನ್ನು ಫೈರ್ಜೈಲ್ ಉಪಯುಕ್ತತೆಗೆ ವಾದವಾಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿ, ಉದಾಹರಣೆಗೆ, "ಫೈರ್ಜೈಲ್ ಫೈರ್ಫಾಕ್ಸ್" ಅಥವಾ "ಸುಡೋ ಫೈರ್ಜೈಲ್ /etc/init.d/nginx start".
ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ:
- ಸಿಸ್ಟಮ್ ಕರೆ ನಿರ್ಬಂಧದ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯ ಮೂಲತತ್ವವೆಂದರೆ Seccomp ಫಿಲ್ಟರ್ಗಳನ್ನು /run/firejail/mnt ಡೈರೆಕ್ಟರಿಗೆ ನಕಲಿಸಲಾಗುತ್ತದೆ, ಇದನ್ನು ಪ್ರತ್ಯೇಕ ಪರಿಸರದಲ್ಲಿ ಬರೆಯಬಹುದು. ಐಸೊಲೇಶನ್ ಮೋಡ್ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಕ್ರಿಯೆಗಳು ಈ ಫೈಲ್ಗಳನ್ನು ಮಾರ್ಪಡಿಸಬಹುದು, ಇದು ಸಿಸ್ಟಮ್ ಕರೆ ಫಿಲ್ಟರ್ ಅನ್ನು ಅನ್ವಯಿಸದೆ ಅದೇ ಪರಿಸರದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಹೊಸ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ;
- ಮೆಮೊರಿ-ನಿರಾಕರಣೆ-ಬರೆಯಲು-ಕಾರ್ಯಗತಗೊಳಿಸುವ ಫಿಲ್ಟರ್ "memfd_create" ಕರೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ;
- ಜೈಲಿಗಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಡೈರೆಕ್ಟರಿಯನ್ನು ಬದಲಾಯಿಸಲು "ಪ್ರೈವೇಟ್-ಸಿಡಬ್ಲ್ಯೂಡಿ" ಎಂಬ ಹೊಸ ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
- D-Bus ಸಾಕೆಟ್ಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು "--nodbus" ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
- ಬೆಂಬಲ ಹಿಂತಿರುಗಿದೆ CentOS 6;
- ಫಾರ್ಮ್ಯಾಟ್ಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ಗಳಿಗೆ ಬೆಂಬಲ и .
ಈ ಪ್ಯಾಕೇಜುಗಳು ತಮ್ಮದೇ ಆದ ಉಪಕರಣವನ್ನು ಬಳಸಬೇಕು; - mypaint, nano, xfce87-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow ಸೇರಿದಂತೆ 4 ಹೆಚ್ಚುವರಿ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಹೊಸ ಪ್ರೊಫೈಲ್ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ. freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ಮತ್ತು cantata.
ಮೂಲ: opennet.ru
