projekta izlaidums , kuras ietvaros tiek izstrādāta sistēma izolētai grafisko, konsoļu un servera aplikāciju izpildei. Izmantojot Firejail, varat samazināt galvenās sistēmas kompromitēšanas risku, palaižot neuzticamas vai potenciāli neaizsargātas programmas. Programma ir uzrakstīta C valodā, licencēts saskaņā ar GPLv2 un var darboties jebkurā Linux izplatīšanā ar kodolu, kas vecāks par 3.0. Gatavas paketes ar Firejail deb (Debian, Ubuntu) un rpm (CentOS, Fedora) formātos.
Par izolāciju Firejail nosaukumvietas, AppArmor un sistēmas zvanu filtrēšana (seccomp-bpf) operētājsistēmā Linux. Pēc palaišanas programma un visi tās pakārtotie procesi izmanto atsevišķus kodola resursu skatus, piemēram, tīkla steku, procesa tabulu un pievienošanas punktus. Viena no otras atkarīgās lietojumprogrammas var apvienot vienā kopīgā smilšu kastē. Ja vēlaties, Firejail var izmantot arī Docker, LXC un OpenVZ konteineru palaišanai.
Atšķirībā no konteineru izolācijas instrumentiem, firejail ir ārkārtīgi konfigurācijā un nav nepieciešama sistēmas attēla sagatavošana - konteinera kompozīcija tiek veidota lidojuma laikā, pamatojoties uz pašreizējās failu sistēmas saturu, un tiek dzēsta pēc pieteikuma pabeigšanas. Tiek nodrošināti elastīgi līdzekļi piekļuves noteikumu iestatīšanai failu sistēmai; jūs varat noteikt, kuriem failiem un direktorijiem ir atļauta vai liegta piekļuve, savienot pagaidu failu sistēmas (tmpfs) datiem, ierobežot piekļuvi failiem vai direktorijiem, lai tie būtu tikai lasāmi, apvienot direktorijus, izmantojot iesiešana un pārklājumi.
Lielam skaitam populāru lietojumprogrammu, tostarp Firefox, Chromium, VLC un Transmission, gatavas sistēmas zvanu izolācija. Lai palaistu programmu izolācijas režīmā, vienkārši norādiet lietojumprogrammas nosaukumu kā argumentu firejail utilītai, piemēram, “firejail firefox” vai “sudo firejail /etc/init.d/nginx start”.
Jaunajā laidienā:
- Ir novērsta ievainojamība, kas ļauj ļaunprātīgam procesam apiet sistēmas zvanu ierobežošanas mehānismu. Ievainojamības būtība ir tāda, ka Seccomp filtri tiek kopēti direktorijā /run/firejail/mnt, kas ir ierakstāms izolētajā vidē. Ļaunprātīgi procesi, kas darbojas izolācijas režīmā, var modificēt šos failus, kā rezultātā tiks izpildīti jauni procesi, kas darbojas tajā pašā vidē, neizmantojot sistēmas izsaukuma filtru;
- Atmiņas aizlieguma rakstīšanas-izpildīšanas filtrs nodrošina, ka izsaukums “memfd_create” tiek bloķēts;
- Pievienota jauna opcija "private-cwd", lai mainītu cietuma darba direktoriju;
- Pievienota opcija "--nodbus", lai bloķētu D-Bus ligzdas;
- Atgriezts atbalsts CentOS 6;
- atbalsts pakotnēm formātos и .
ka šīm pakotnēm būtu jāizmanto savi instrumenti; - Ir pievienoti jauni profili, lai izolētu 87 papildu programmas, tostarp mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentācijas, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp un kantāte.
Avots: opennet.ru