Firejail 0.9.78 чыгарылды. Ал графикалык, консольдук жана сервердик тиркемелерди обочолонуп аткаруу үчүн системаны иштеп чыгат, ишенимсиз же потенциалдуу аялуу программаларды иштеткенде хост системасына доо кетирүү коркунучун азайтат. Программа C тилинде жазылган, GPLv2 лицензиясы боюнча таратылат жана каалаган дистрибуцияда иштейт. Linux 3.0дон эски ядро менен. Firejail менен даяр пакеттер deb форматында даярдалат (Debian, Ubuntu) жана айн/мин (CentOS, Федора).
Firejail обочолонуу үчүн аталыш мейкиндиктерин, AppArmor жана системалык чалууларды чыпкалоону (seccomp-bpf) колдонот. LinuxИшке киргизилгенден кийин, программа жана анын бардык бала процесстери тармактык стек, процесстик таблица жана орнотуу чекиттери сыяктуу ядро ресурстарынын өзүнчө көрсөтүлүшүн колдонот. Өз ара көз каранды тиркемелерди бирдиктүү бөлүшүлгөн кумкоргонго бириктирүүгө болот. Firejail ошондой эле Docker, LXC жана OpenVZ контейнерлерин иштетүү үчүн колдонулушу мүмкүн.
Контейнерди изоляциялоо куралдарынан айырмаланып, Firejailди конфигурациялоо өтө жөнөкөй жана системанын сүрөтүн даярдоону талап кылбайт — контейнердин мазмуну учурдагы файл системасынын мазмунунун негизинде заматта түзүлөт жана тиркеме аяктагандан кийин жок кылынат. Кайсы файлдарга жана каталогдорго кирүүгө уруксат берилгенин же тыюу салынганын аныктоого, маалыматтар үчүн убактылуу файл системаларын (tmpfs) орнотууга, файлдарга же каталогдорго кирүүгө окуу үчүн гана чектөөгө жана bind-mount жана overlayfs аркылуу каталогдорду бириктирүүгө мүмкүндүк берген ийкемдүү файл системасына кирүү эрежелери каралган.
Көптөгөн популярдуу тиркемелер үчүн, анын ичинде Firefox, Chromium, VLC жана Transmission, даяр тутумдук чалууларды изоляциялоо профилдери даярдалган. Кумдуу чөйрөнү орнотуу үчүн зарыл болгон артыкчылыктарды алуу үчүн, firejail аткарылуучу программасы SUID тамыр желеги менен орнотулган (артыкчылыктар инициализациялангандан кийин баштапкы абалга келтирилет). Программаны обочолонуу режиминде иштетүү үчүн, жөн гана firejail утилитасына аргумент катары колдонмонун атын көрсөтүңүз, мисалы, “firejail firefox” же “sudo firejail /etc/init.d/nginx start”.
Жаңы чыгарылышта:
- В файл конфигурации firejail.config добавлены опции arg-max-count, arg-max-len, env-max-count и env-max-len для изменения лимитов на число и размер опций командной строки и переменных окружения. По умолчанию число аргументов ограничено 128, число переменных окружения 256, а размер каждого аргумента — PATH_MAX из limits.h (в Linux 40196) + 32.
- Firejail.config файлын өзгөртпөстөн буйрук сабында Xephyrге (терезеде иштеген өзүнүн X сервери менен X11 кумкоргон чөйрөлөрүн түзүү үчүн колдонулат) кошумча параметрлерди көрсөтүү үчүн "--xephyr-extra-params" опциясы кошулду.
- Sandbox чөйрөсүндө орнотулган bwrap (bubblewrap) утилитасы fbwrap орто программалык камсыздоосу менен алмаштырылды, ал gdk-pixbuf2ден bwrap аркылуу чакырылып жаткан glycin 2.0.0 программасына байланыштуу Firefox, Thunderbird жана GIMP программаларын ишке киргизүүдөгү көйгөйлөрдү чечүү үчүн программаларды кумкоргонсуз ишке киргизет. Орто программалык камсыздоонун ордуна bwrapты көчүрүү үчүн "--allow-bwrap" опциясы кошулду.
- seccomp үчүн жаңыртылган системалык чакыруу таблицалары. epoll_pwait2 жана futex_wait сыяктуу жаңы системалык чакыруулар кошулду.
- "--disable-globalcfg" түзүү опциясы алынып салынды жана overlayfs ("--overlay") жана IDS (Intrusion Detection System, "--ids") режимдерин колдоо токтотулду.
- ne текст редактору (текст редактору), Trivalent браузери жана OpenRA, quakespasm, gzdoom, lzdoom жана uzdoom оюн кыймылдаткычтары үчүн обочолонуу профилдери кошулду.
- Thunderbird, wine, qutebrowser, firefox, godot, wusc, mullvad-browser, blink, steam, ssh, brave жана hashcat үчүн жаңыртылган профилдер.
Source: opennet.ru
