ການປ່ອຍໂຄງການ , ພາຍໃນລະບົບທີ່ກໍາລັງຖືກພັດທະນາສໍາລັບການປະຕິບັດທີ່ໂດດດ່ຽວຂອງຄໍາຮ້ອງສະຫມັກກາຟິກ, console ແລະເຄື່ອງແມ່ຂ່າຍ. ການນໍາໃຊ້ Firejail ຊ່ວຍໃຫ້ທ່ານສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ການປະນີປະນອມລະບົບຕົ້ນຕໍໃນເວລາທີ່ແລ່ນໂຄງການທີ່ບໍ່ຫນ້າເຊື່ອຖືຫຼືມີຄວາມສ່ຽງ. ໂຄງການແມ່ນໄດ້ຮັບການຂຽນເປັນພາສາ C, ອະນຸຍາດພາຍໃຕ້ GPLv2 ແລະສາມາດດໍາເນີນການກ່ຽວກັບການແຈກຢາຍ Linux ໃດໆທີ່ມີ kernel ເກົ່າກວ່າ 3.0. ແພັກເກດທີ່ເຮັດແລ້ວກັບ Firejail ໃນຮູບແບບ deb (Debian, Ubuntu) ແລະ rpm (CentOS, Fedora).
ສໍາລັບການໂດດດ່ຽວໃນ Firejail пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
ບໍ່ເຫມືອນກັບເຄື່ອງມື insulation container, firejail ແມ່ນທີ່ສຸດ в конфигурации и не требует подготовки системного образа — состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
ສໍາລັບຄໍາຮ້ອງສະຫມັກທີ່ນິຍົມຈໍານວນຫລາຍ, ລວມທັງ Firefox, Chromium, VLC ແລະ Transmission, ກຽມພ້ອມ изоляции системных вызовов. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».
ໃນການປ່ອຍໃຫມ່:
- Устранена уязвимость, позволяющая вредоносному процессу обойти механизм ограничения системных вызовов. Суть уязвимость в том, что фильтры Seccomp копируются в каталог /run/firejail/mnt, доступный на запись внутри изолированного окружения. Запускаемые в режиме изоляции вредоносные процессы могут изменить эти файлы, что приведёт к тому, что новые процессы, запущенные в этом же окружении, будут выполнены без применения фильтра системных вызовов;
- В фильтре memory-deny-write-execute обеспечена блокировка вызова «memfd_create»;
- Добавлена новая опция «private-cwd» для изменения рабочего каталога для jail;
- Добавлена опция «—nodbus» для блокировки сокетов D-Bus;
- Возвращена поддержка CentOS 6;
- поддержка пакетов в форматах и .
, что для данных пакетов следует использовать их собственный инструментарий; - Добавлены новые профили для изоляции 87 дополнительных программ, в числе которых mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp и cantata.
ແຫຼ່ງຂໍ້ມູນ: opennet.ru