Firejail 0.9.72 애플리케이션 격리 릴리스

신뢰할 수 없거나 잠재적으로 취약한 프로그램을 실행할 때 기본 시스템이 손상될 위험을 최소화할 수 있도록 그래픽, 콘솔 및 서버 애플리케이션의 격리된 실행을 위한 시스템을 개발하는 Firejail 0.9.72 프로젝트의 릴리스가 발표되었습니다. 이 프로그램은 C로 작성되었으며 GPLv2 라이선스에 따라 배포되며 3.0보다 오래된 커널을 사용하는 모든 Linux 배포판에서 실행될 수 있습니다. 기성 Firejail 패키지는 deb(Debian, Ubuntu) 및 rpm(CentOS, Fedora) 형식으로 준비되어 있습니다.

격리를 위해 Firejail은 Linux에서 네임스페이스, AppArmor 및 시스템 호출 필터링(seccomp-bpf)을 사용합니다. 일단 실행되면 프로그램과 모든 하위 프로세스는 네트워크 스택, 프로세스 테이블, 마운트 지점과 같은 커널 리소스에 대한 별도의 보기를 사용합니다. 서로 의존하는 애플리케이션을 하나의 공통 샌드박스로 결합할 수 있습니다. 원하는 경우 Firejail을 사용하여 Docker, LXC 및 OpenVZ 컨테이너를 실행할 수도 있습니다.

컨테이너 격리 도구와 달리 Firejail은 구성이 매우 간단하고 시스템 이미지 준비가 필요하지 않습니다. 컨테이너 구성은 현재 파일 시스템의 콘텐츠를 기반으로 즉석에서 형성되며 애플리케이션이 완료된 후 삭제됩니다. 파일 시스템에 대한 액세스 규칙을 설정하는 유연한 방법이 제공됩니다. 액세스를 허용하거나 거부할 파일과 디렉터리를 결정하고, 데이터에 대한 임시 파일 시스템(tmpfs)을 연결하고, 파일이나 디렉터리에 대한 액세스를 읽기 전용으로 제한하고, 디렉터리를 결합할 수 있습니다. 바인드 마운트 및 overlayfs.

Firefox, Chromium, VLC 및 Transmission을 포함한 다수의 인기 애플리케이션에 대해 기성 시스템 호출 격리 프로필이 준비되었습니다. 샌드박스 환경을 설정하는 데 필요한 권한을 얻으려면 SUID 루트 플래그와 함께 Firejail 실행 파일이 설치됩니다(권한은 초기화 후 재설정됩니다). 격리 모드에서 프로그램을 실행하려면 애플리케이션 이름을 firejail 유틸리티에 대한 인수로 지정하기만 하면 됩니다(예: "firejail firefox" 또는 "sudo firejail /etc/init.d/nginx start").

새 릴리스에서:

• 네임스페이스 생성을 차단하는 시스템 호출에 대한 seccomp 필터를 추가했습니다(활성화하기 위해 "--restrict-namespaces" 옵션이 추가되었습니다). 업데이트된 시스템 호출 테이블 및 seccomp 그룹.
• 새로운 프로세스가 추가 권한을 얻는 것을 방지하는 향상된 force-nonewprivs 모드(NO_NEW_PRIVS).
• 자신의 AppArmor 프로필을 사용하는 기능이 추가되었습니다(연결을 위해 "--apparmor" 옵션이 제공됨).
• 각 주소의 IP 및 트래픽 강도에 대한 정보를 표시하는 nettrace 네트워크 트래픽 추적 시스템은 ICMP 지원을 구현하고 "--dnstrace", "--icmptrace" 및 "--snitrace" 옵션을 제공합니다.
• --cgroup 및 --shell 명령이 제거되었습니다(기본값은 --shell=none입니다). Firetunnel 빌드는 기본적으로 중지됩니다. /etc/firejail/firejail.config에서 chroot, private-lib 및 Tracelog 설정을 비활성화했습니다. grsecurity 지원이 중단되었습니다.

출처 : opennet.ru