ProHoster > Blog > интернет жаңылыктары > Firejail 0.9.62 Колдонмо изоляциясы

Firejail 0.9.62 Колдонмо изоляциясы

алты айдан кийин иштеп чыгуу жеткиликтүү долбоор чыгаруу Firejail 0.9.62, анын ичинде графикалык, консолдук жана сервердик тиркемелерди обочолонгон аткаруу үчүн система иштелип жатат. Firejailди колдонуу ишенимсиз же потенциалдуу аялуу программаларды иштетип жатканда негизги системаны бузуп алуу коркунучун азайтууга мүмкүндүк берет. Программа Си тилинде жазылган, жайылуу GPLv2 боюнча лицензияланган жана ядросу 3.0дон ашкан каалаган Linux дистрибутивинде иштей алат. Firejail менен даяр пакеттер даяр deb (Debian, Ubuntu) жана rpm (CentOS, Fedora) форматтарында.

Firejail изоляциясы үчүн колдонулган аттар мейкиндиктери, AppArmor жана Linux'та тутумдук чалууларды чыпкалоо (seccomp-bpf). Ишке киргизилгенден кийин, программа жана анын бардык көмөкчү процесстери тармактык стек, процесс таблицасы жана орнотуу чекиттери сыяктуу ядро ​​ресурстарынын өзүнчө көрүнүштөрүн колдонушат. Бири-биринен көз каранды болгон тиркемелерди бир жалпы кумкоргонго бириктирсе болот. Кааласаңыз, Firejail Docker, LXC жана OpenVZ контейнерлерин иштетүү үчүн да колдонулушу мүмкүн.

Контейнерди жылуулоочу шаймандардан айырмаланып, Firejail абдан чоң жеңил конфигурацияда жана системанын сүрөтүн даярдоону талап кылбайт - контейнердин курамы учурдагы файлдык тутумдун мазмунунун негизинде түзүлөт жана колдонмо аяктагандан кийин жок кылынат. Файлдык тутумга кирүү эрежелерин орнотуунун ийкемдүү каражаттары каралган; сиз кайсы файлдарга жана каталогдорго кирүүгө уруксат берилген же тыюу салынганын аныктай аласыз, маалыматтар үчүн убактылуу файлдык тутумдарды (tmpfs) туташтыра аласыз, файлдарга же каталогдорго кирүүнү чектөөгө, окуу үчүн гана, каталогдорду бириктире аласыз. байлоо жана каптоо.

Көптөгөн популярдуу тиркемелер үчүн, анын ичинде Firefox, Chromium, VLC жана Transmission, даяр профилдер системалык чалуу изоляциясы. Кумдуу чөйрөнү орнотуу үчүн зарыл болгон артыкчылыктарды алуу үчүн, firejail аткарылуучу файлы SUID тамыр желеги менен орнотулган (артыкчылыктар инициализациялангандан кийин баштапкы абалга келтирилет). Программаны изоляция режиминде иштетүү үчүн, жөн гана firejail утилитасына аргумент катары колдонмонун атын көрсөтүңүз, мисалы, “firejail firefox” же “sudo firejail /etc/init.d/nginx start”.

Жаңы чыгарылышта:

  • Конфигурация файлында /etc/firejail/firejail.config кошулду “--private-*” опцияларын колдонууда эстутумга көчүрүлө турган файлдардын өлчөмүн чектөөгө мүмкүндүк берүүчү файлды көчүрүү-лимитин орнотуусу (демейки боюнча чек 500 МБ деп коюлган).
  • Жаңы колдонмолорду чектөө профилдерин түзүү үчүн шаблондор /usr/share/doc/firejail каталогуна кошулду.
  • Профильдер мүчүлүштүктөрдү оңдоого мүмкүндүк берет.
  • seccomp механизмин колдонуу менен системалык чалууларды чыпкалоо жакшыртылды.
  • Компилятордун желектерин автоматтык түрдө аныктоо каралган.
  • Chroot чалуу мындан ары жолдун негизинде жасалбайт, бирок файлдын дескрипторуна негизделген орнотуу чекиттери колдонулат.
  • /usr/share каталогу ар кандай профилдердин ак тизмесине киргизилген.
  • Жаңы жардамчы скрипттери gdb-firejail.sh жана sort.py conrib бөлүмүнө кошулду.
  • Артыкчылыктуу кодду (SUID) аткаруу стадиясында күчөтүлгөн коргоо.
  • Профильдер үчүн жаңы шарттуу атрибуттар HAS_X11 жана HAS_NET X серверинин жана тармакка кирүү мүмкүнчүлүгүн текшерүү үчүн ишке ашырылган.
  • Оччолонгон тиркемени ишке киргизүү үчүн профилдер кошулду (профилдердин жалпы саны 884кө көбөйдү):
    • i2p,
    • tor-браузер (AUR),
    • Зулип,
    • rsync
    • сигнал-cli
    • tcpdump
    • шарк,
    • qgis
    • OpenArena,
    • кудай,
    • klatexformula,
    • klatexformula_cmdl,
    • шилтемелер,
    • xlinks,
    • pandoc
    • Linux үчүн командалар,
    • gnome-үн жазгыч,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-прокси,
    • rhythmbox-кардар,
    • Джерри
    • ынталуулук,
    • mpg123,
    • сүйлөшүү,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • out123,
    • mpg123-джек,
    • mpg123-нас,
    • mpg123-ачык,
    • mpg123-oss,
    • mpg123-портаудио,
    • mpg123-пульс,
    • mpg123-стрип,
    • pavucontrol-qt,
    • гном каармандары,
    • гном-мүнөзү-карта,
    • Whalebird
    • tb-стартер-орагыч,
    • bzcat,
    • kiwix-рабочий стол,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ар
    • гном-латекс,
    • pngquant
    • калгебра
    • калгебрамобил,
    • амулат
    • тап,
    • кара сөз
    • үн жаздыргыч,
    • камера монитор
    • ddgtk
    • Draio,
    • unf,
    • gmpc,
    • электрондук почта,
    • негизги,
    • негизги паста.

Source: opennet.ru

Комментарий кошуу