Publicēts projekta Firejail 0.9.72 izlaidums, kas izstrādā sistēmu grafisko, konsoļu un servera aplikāciju izolētai izpildei, ļaujot maksimāli samazināt risku kompromitēt galveno sistēmu, palaižot neuzticamas vai potenciāli ievainojamas programmas. Programma ir rakstīta C valodā, tiek izplatīta saskaņā ar GPLv2 licenci un var darboties jebkurā Linux izplatīšanā ar kodolu, kas vecāks par 3.0. Gatavās Firejail pakotnes tiek sagatavotas deb (Debian, Ubuntu) un rpm (CentOS, Fedora) formātos.
Izolācijai Firejail izmanto nosaukumvietas, AppArmor un sistēmas zvanu filtrēšanu (seccomp-bpf) operētājsistēmā Linux. Pēc palaišanas programma un visi tās pakārtotie procesi izmanto atsevišķus kodola resursu skatus, piemēram, tīkla steku, procesa tabulu un pievienošanas punktus. Viena no otras atkarīgās lietojumprogrammas var apvienot vienā kopīgā smilšu kastē. Ja vēlaties, Firejail var izmantot arī Docker, LXC un OpenVZ konteineru palaišanai.
Atšķirībā no konteineru izolācijas rīkiem, firejail ir ārkārtīgi vienkārši konfigurējams, un tam nav nepieciešams sagatavot sistēmas attēlu - konteinera sastāvs tiek veidots lidojumā, pamatojoties uz pašreizējās failu sistēmas saturu, un tiek dzēsts pēc lietojumprogrammas pabeigšanas. Tiek nodrošināti elastīgi līdzekļi piekļuves noteikumu iestatīšanai failu sistēmai; jūs varat noteikt, kuriem failiem un direktorijiem ir atļauta vai liegta piekļuve, savienot pagaidu failu sistēmas (tmpfs) datiem, ierobežot piekļuvi failiem vai direktorijiem, lai tie būtu tikai lasāmi, apvienot direktorijus, izmantojot iesiešana un pārklājumi.
Lielai daļai populāru lietojumprogrammu, tostarp Firefox, Chromium, VLC un Transmission, ir sagatavoti gatavi sistēmas zvanu izolācijas profili. Lai iegūtu smilškastes vides iestatīšanai nepieciešamās privilēģijas, Firejail izpildāmais fails ir instalēts ar SUID saknes karogu (privilēģijas tiek atiestatītas pēc inicializācijas). Lai palaistu programmu izolācijas režīmā, vienkārši norādiet lietojumprogrammas nosaukumu kā argumentu firejail utilītai, piemēram, “firejail firefox” vai “sudo firejail /etc/init.d/nginx start”.
Jaunajā laidienā:
- Pievienots seccomp filtrs sistēmas izsaukumiem, kas bloķē nosaukumvietu izveidi (lai iespējotu, ir pievienota opcija “--restrict-namespaces”). Atjauninātas sistēmas zvanu tabulas un seccomp grupas.
- Uzlabots force-nonewprivs režīms (NO_NEW_PRIVS), kas neļauj jauniem procesiem iegūt papildu privilēģijas.
- Pievienota iespēja izmantot savus AppArmor profilus (pieslēgšanai tiek piedāvāta opcija “--apparmor”).
- Nettrace tīkla trafika izsekošanas sistēma, kas parāda informāciju par IP un trafika intensitāti no katras adreses, ievieš ICMP atbalstu un piedāvā opcijas "--dnstrace", "--icmptrace" un "--snitrace".
- Komandas --cgroup un --shell ir noņemtas (noklusējums ir --shell=none). Firetunnel veidošana pēc noklusējuma ir apturēta. Atspējoti chroot, private-lib un tracelog iestatījumi mapē /etc/firejail/firejail.config. grsecurity atbalsts ir pārtraukts.
Avots: opennet.ru