Firejail 0.9.72 hatiye berdan. Ew pergalek ji bo pêkanîna îzolekirî ya sepanên grafîkî, konsol û serverê pêş dixe, û dema ku bernameyên ne pêbawer an jî potansiyel xeternak têne xebitandin, xetera têkbirina pergala mêvandar kêm dike. Bername bi C hatiye nivîsandin, di bin lîsansa GPLv2 de hatiye belavkirin, û li ser her belavkirinê dixebite. Linux bi kernelek ji 3.0 kevintir. Pakêtên amade yên bi Firejail re di formatên deb de têne amadekirin (Debian, Ubuntu) û rpm (CentOS, Fedora).
Firejail ji bo tecrîdê navên cihan, AppArmor, û fîlterkirina banga pergalê (seccomp-bpf) bikar tîne. LinuxPiştî destpêkirinê, bernameyek û hemî pêvajoyên wê yên zarok nûneratiyên cuda yên çavkaniyên kernel bikar tînin, wekî stûna torê, tabloya pêvajoyê, û xalên mountkirinê. Serlêdanên bi hev ve girêdayî dikarin di sandboxek hevpar a yekane de werin hev kirin. Firejail dikare ji bo xebitandina konteynerên Docker, LXC, û OpenVZ jî were bikar anîn.
Berevajî amûrên veqetandina konteyneran, firejail ji bo mîhengê zehf hêsan e û hewcedariya amadekirina wêneyek pergalê nake - berhevoka konteynerê li ser bingeha naveroka pergala pelê ya heyî li ser firînê pêk tê û piştî ku serîlêdanê qediya tê jêbirin. Wateyên maqûl ên danîna qaîdeyên gihîştina pergala pelan têne peyda kirin, hûn dikarin destnîşan bikin ka kîjan pel û peldankan têne destûr kirin an têne red kirin, pergalên pelan ên demkî (tmpfs) ji bo daneyan girêdin, gihîştina pelan an peldankan tenê ji bo xwendinê sînordar bikin, peldankan bi navgîniya hevberdanê bikin; bind-mount û overlayfs.
Gelek serîlêdanên populer, di nav de Firefox, Chromium, VLC û Veguhastin, profîlên veqetandina banga pergalê amade ne. Ji bo bidestxistina îmtiyazên ku ji bo sazkirina jîngehek sandboxed hewce ne, îcrakarê firejail bi ala root ya SUID ve tê saz kirin (desthilat piştî destpêkirinê têne nûve kirin). Ji bo ku bernameyek di moda veqetandinê de bimeşînin, tenê navê serîlêdanê wekî argumanek ji kargêriya firejail re diyar bikin, mînakî, "firejail firefox" an "sudo firejail /etc/init.d/nginx start".
Di weşana nû de:
- Parzûnek seccomp ji bo bangên pergalê zêde kir ku çêkirina cîhên navan asteng dike (vebijarka "--sînordar-navên navan" hate zêdekirin da ku çalak bike). Tabloyên banga pergalê û komên seccomp nûve kirin.
- Moda hêz-nonewprivs ya çêtir (NO_NEW_PRIVS), ku rê nade ku pêvajoyên nû îmtiyazên zêde bi dest bixin.
- Kapasîteya karanîna profîlên xwe yên AppArmor zêde kir (vebijarka "--apparmor" ji bo girêdanê tê pêşkêş kirin).
- Pergala şopandina seyrûsefera torê ya nettrace, ku ji her navnîşanê agahdariya IP û tundiya trafîkê nîşan dide, piştgiriya ICMP bicîh tîne û vebijarkên "--dnstrace", "--icmptrace" û "--snitrace" pêşkêşî dike.
- Fermanên --cgroup û --shell hatin rakirin (ya xwerû --shell=none ye). Avakirina Firetunnel ji hêla xwerû ve tê rawestandin. Mîhengên chroot, taybet-lib û tracelogê li /etc/firejail/firejail.config neçalak kirin. piştgiriya grsecurity hatiye rawestandin.
Source: opennet.ru
