Paskelbta Firejail 0.9.72 projekto laida, kuria sukurta izoliuoto grafinių, konsolinių ir serverių programų vykdymo sistema, leidžianti iki minimumo sumažinti riziką pakenkti pagrindinei sistemai, kai vykdomos nepatikimos ar galimai pažeidžiamos programos. Programa parašyta C kalba, platinama pagal GPLv2 licenciją ir gali veikti bet kuriame Linux distribucijose su senesniu nei 3.0 branduoliu. Paruošti Firejail paketai ruošiami deb (Debian, Ubuntu) ir rpm (CentOS, Fedora) formatais.
Išskyrimui „Firejail“ naudoja vardų sritis, „AppArmor“ ir sistemos skambučių filtravimą (seccomp-bpf) sistemoje „Linux“. Paleidus programą ir visi jos antriniai procesai naudoja atskirus branduolio išteklių, pvz., tinklo dėklo, proceso lentelės ir prijungimo taškų, rodinius. Viena nuo kitos priklausančias programas galima sujungti į vieną bendrą smėlio dėžę. Jei pageidaujama, „Firejail“ taip pat gali būti naudojama „Docker“, LXC ir „OpenVZ“ konteineriams paleisti.
Skirtingai nuo konteinerių izoliavimo įrankių, „firejail“ yra labai paprasta konfigūruoti ir nereikalauja paruošti sistemos vaizdo – konteinerio kompozicija formuojama sklandžiai, remiantis esamos failų sistemos turiniu ir ištrinama užbaigus programą. Pateikiamos lanksčios prieigos prie failų sistemos taisyklių nustatymo priemonės; galite nustatyti, kuriems failams ir katalogams prieiga leidžiama arba uždrausta, prijungti laikinas failų sistemas (tmpfs) duomenims, apriboti prieigą prie failų ar katalogų, kad jie būtų tik skaityti, sujungti katalogus per įrišimas ir perdangos.
Daugeliui populiarių programų, įskaitant Firefox, Chromium, VLC ir Transmission, buvo paruošti sistemos skambučių izoliavimo profiliai. Norint gauti privilegijas, reikalingas smėlio dėžės aplinkai nustatyti, vykdomasis failas „Firejail“ yra įdiegtas su SUID šaknies vėliava (privilegijos iš naujo nustatomos po inicijavimo). Norėdami paleisti programą izoliacijos režimu, tiesiog nurodykite programos pavadinimą kaip argumentą „firejail“ programai, pavyzdžiui, „firejail firefox“ arba „sudo firejail /etc/init.d/nginx start“.
Naujame leidime:
- Pridėtas sistemos skambučių seccomp filtras, kuris blokuoja vardų erdvių kūrimą (įgalinti buvo pridėta parinktis „--restrict-namespaces“). Atnaujintos sistemos skambučių lentelės ir seccomp grupės.
- Patobulintas „force-nonewprivs“ režimas (NO_NEW_PRIVS), kuris neleidžia naujiems procesams įgyti papildomų privilegijų.
- Pridėta galimybė naudoti savo „AppArmor“ profilius (prisijungimui siūloma parinktis „--apparmor“).
- Nettrace tinklo srauto sekimo sistema, kuri rodo informaciją apie IP ir srauto intensyvumą iš kiekvieno adreso, įgyvendina ICMP palaikymą ir siūlo "--dnstrace", "--icmptrace" ir "--snitrace" parinktis.
- Komandos --cgroup ir --shell buvo pašalintos (numatytasis nustatymas yra --shell=none). „Firetunnel“ kūrimas sustabdytas pagal numatytuosius nustatymus. Išjungti chroot, private-lib ir tracelog nustatymai /etc/firejail/firejail.config. grsecurity parama buvo nutraukta.
Šaltinis: opennet.ru