Projet Verëffentlechung , an deem e System entwéckelt gëtt fir isoléiert Ausféierung vu Grafik-, Konsol- a Serverapplikatiounen. D'Benotzung vu Firejail erlaabt Iech de Risiko ze minimiséieren fir den Haaptsystem ze kompromittéieren wann Dir onvertrauenswierdeg oder potenziell vulnérabel Programmer leeft. De Programm ass an der C Sprooch geschriwwen, lizenzéiert ënner GPLv2 a kann op all Linux Verdeelung mat engem Kernel méi al wéi 3.0 lafen. Fäerdeg Packagen mat Firejail an deb (Debian, Ubuntu) an rpm (CentOS, Fedora) Formater.
Fir Isolatioun am Firejail Nummraim, AppArmor a Systemrufffilter (seccomp-bpf) op Linux. Eemol lancéiert, benotzen de Programm an all seng Kannerprozesser getrennte Meenunge vu Kernelressourcen, wéi zum Beispill den Netzwierkstack, Prozesstabel a Montéierungspunkten. Uwendungen, déi vuneneen ofhängeg sinn, kënnen an eng gemeinsam Sandkëscht kombinéiert ginn. Wann Dir wëllt, Firejail kann och benotzt ginn fir Docker, LXC an OpenVZ Container ze lafen.
Am Géigesaz zu Container Isolatioun Tools, Firejail ass extrem an der Konfiguratioun an erfuerdert net d'Virbereedung vun engem Systembild - d'Containerkompositioun gëtt op der Flucht geformt baséiert op den Inhalt vum aktuellen Dateiesystem a gëtt geläscht nodeems d'Applikatioun ofgeschloss ass. Flexibel Mëttele fir Zougangsregele fir de Dateiesystem ze setzen; Dir kënnt bestëmmen wéi eng Dateien an Verzeichnisser Zougang erlaabt oder verweigert ginn, temporär Dateiesystemer (tmpfs) fir Daten verbannen, Zougang zu Dateien oder Verzeichnisser limitéieren fir nëmme liesen, Verzeichnisser kombinéieren duerch bind-mount an overlays.
Fir eng grouss Zuel vu populäre Applikatiounen, dorënner Firefox, Chromium, VLC an Transmission, fäerdeg gemaach System Opruff Isolatioun. Fir e Programm am Isolatiounsmodus ze lafen, gitt einfach den Numm vun der Applikatioun als Argument fir de Firejail Utility, zum Beispill "firejail firefox" oder "sudo firejail /etc/init.d/nginx start".
An der neier Verëffentlechung:
- Eng Schwachstelle, déi e béiswëlleg Prozess erlaabt de System Uruff Restriktiounsmechanismus z'iwwergoen, gouf fixéiert. D'Essenz vun der Schwachstelle ass datt Seccomp Filteren an de /run/firejail/mnt Verzeichnis kopéiert ginn, deen an der isoléierter Ëmwelt schreiwen kann. Béiswëlleg Prozesser, déi am Isolatiounsmodus lafen, kënnen dës Dateien änneren, wat verursaache wäert, datt nei Prozesser, déi am selwechte Ëmfeld lafen, ausgefouert ginn ouni de Systemrufffilter z'applizéieren;
- Den Memory-deny-write-execute-Filter garantéiert datt den Uruff "memfd_create" blockéiert ass;
- Nei Optioun "private-cwd" bäigefüügt fir den Aarbechtsverzeechnes fir de Prisong z'änneren;
- Zousätzlech "--nodbus" Optioun fir D-Bus Sockets ze blockéieren;
- Zréckkomm Ënnerstëtzung fir CentOS 6;
- Ënnerstëtzung fir Packagen a Formater и .
datt dës Packagen hiren eegene Tooling benotzen; - Nei Profiler goufen derbäigesat fir 87 zousätzlech Programmer ze isoléieren, dorënner mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp a kantate.
Source: opennet.ru