projekto leidimas , kurioje kuriama sistema, skirta izoliuotai vykdyti grafines, konsolines ir serverio programas. Naudodami „Firejail“ galite sumažinti riziką pakenkti pagrindinei sistemai, kai vykdomos nepatikimos arba galimai pažeidžiamos programos. Programa parašyta C kalba, licencijuota pagal GPLv2 ir gali veikti bet kuriame Linux paskirstyme su senesniu nei 3.0 branduoliu. Paruošti paketai su Firejail deb (Debian, Ubuntu) ir rpm (CentOS, Fedora) formatais.
Už izoliaciją Firejail vardų sritis, „AppArmor“ ir sistemos skambučių filtravimą (seccomp-bpf) sistemoje „Linux“. Paleidus programą ir visi jos antriniai procesai naudoja atskirus branduolio išteklių, pvz., tinklo dėklo, proceso lentelės ir prijungimo taškų, rodinius. Viena nuo kitos priklausančias programas galima sujungti į vieną bendrą smėlio dėžę. Jei pageidaujama, „Firejail“ taip pat gali būti naudojama „Docker“, LXC ir „OpenVZ“ konteineriams paleisti.
Skirtingai nuo konteinerių izoliacijos įrankių, priešgaisrinis kalėjimas yra labai svarbus konfigūracijoje ir nereikia ruošti sistemos vaizdo – talpyklos kompozicija formuojama sklandžiai, remiantis dabartinės failų sistemos turiniu ir ištrinama baigus taikyti programą. Pateikiamos lanksčios prieigos prie failų sistemos taisyklių nustatymo priemonės; galite nustatyti, kuriems failams ir katalogams prieiga leidžiama arba uždrausta, prijungti laikinas failų sistemas (tmpfs) duomenims, apriboti prieigą prie failų ar katalogų, kad jie būtų tik skaityti, sujungti katalogus per įrišimas ir perdangos.
Paruošta daugeliui populiarių programų, įskaitant Firefox, Chromium, VLC ir Transmission sistemos skambučių izoliavimas. Norėdami paleisti programą izoliacijos režimu, tiesiog nurodykite programos pavadinimą kaip argumentą „firejail“ programai, pavyzdžiui, „firejail firefox“ arba „sudo firejail /etc/init.d/nginx start“.
Naujame leidime:
- Ištaisytas pažeidžiamumas, leidžiantis kenkėjiškam procesui apeiti sistemos skambučių apribojimo mechanizmą. Pažeidžiamumo esmė ta, kad Seccomp filtrai nukopijuojami į /run/firejail/mnt katalogą, kurį galima įrašyti izoliuotoje aplinkoje. Kenkėjiški procesai, veikiantys išskyrimo režimu, gali modifikuoti šiuos failus, todėl nauji procesai, veikiantys toje pačioje aplinkoje, bus vykdomi netaikant sistemos iškvietimo filtro;
- Atminties uždraudimo rašyti ir vykdyti filtras užtikrina, kad iškvietimas „memfd_create“ būtų užblokuotas;
- Pridėta nauja parinktis "private-cwd", kad pakeistų kalėjimo darbo katalogą;
- Pridėta "--nodbus" parinktis blokuoti D-Bus lizdus;
- Grąžintas CentOS 6 palaikymas;
- formatų paketų palaikymas и .
kad šie paketai turėtų naudoti savo įrankius; - Buvo pridėti nauji profiliai, skirti atskirti 87 papildomas programas, įskaitant mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentacijos, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ir kantata.
Šaltinis: opennet.ru