Ny famoahana ny tetikasa Firejail 0.9.72 dia navoaka, izay mamolavola rafitra iray ho an'ny famonoana mitoka-monina ny fampiharana grafika, fampiononana ary mpizara, izay ahafahana manamaivana ny risika amin'ny fandeferana ny rafitra lehibe rehefa mihazakazaka programa tsy azo itokisana na mety ho vulnerable. Ny programa dia voasoratra amin'ny C, zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana GPLv2 ary afaka mandeha amin'ny fizarana Linux misy kernel efa antitra kokoa noho ny 3.0. Ny fonosana Firejail efa vita dia voaomana amin'ny endrika deb (Debian, Ubuntu) sy rpm (CentOS, Fedora).
Ho an'ny fitokanana, Firejail dia mampiasa namespaces, AppArmor, ary sivana antso an-tariby (seccomp-bpf) amin'ny Linux. Rehefa natomboka, ny programa sy ny fizotry ny zanany rehetra dia mampiasa fomba fijery misaraka amin'ny loharano kernel, toy ny tambazotran'ny tambazotra, latabatra fizotry, ary teboka fametrahana. Ny fampiharana izay miankina amin'ny tsirairay dia azo atambatra ao anaty boaty fasika mahazatra. Raha tiana dia azo ampiasaina koa ny Firejail hampandehanana ireo kaontenera Docker, LXC ary OpenVZ.
Tsy toy ny fitaovana fitokanana kaontenera, ny firejail dia tena tsotra ny fanamboarana ary tsy mitaky ny fanomanana ny sarin'ny rafitra - ny firafitry ny container dia miforona amin'ny lalitra mifototra amin'ny votoatin'ny rafitra rakitra ankehitriny ary voafafa rehefa vita ny fampiharana. Omena fitaovana mora azo amin'ny fametrahana fitsipika fidirana amin'ny rafi-drakitra; azonao atao ny mamaritra hoe iza amin'ireo rakitra sy lahatahiry no avela na nolavina ny fidirana, mampifandray ny rafitra rakitra vonjimaika (tmpfs) ho an'ny angona, mametra ny fidirana amin'ny rakitra na lahatahiry ho vakiana fotsiny, manambatra ny lahatahiry amin'ny alΓ lan'ny bid-mount sy overlayfs.
Ho an'ny rindranasa malaza marobe, anisan'izany ny Firefox, Chromium, VLC ary Transmission, dia efa nomanina ny mombamomba ny fitokana-monina antso an-tariby efa vita. Mba hahazoana ny tombontsoa ilaina amin'ny fananganana tontolo misy sandbox, ny firejail executable dia apetraka miaraka amin'ny saina faka SUID (averina ny tombontsoa aorian'ny fanombohana). Mba hampandehanana programa amin'ny fomba mitoka-monina, mariho tsotra izao ny anaran'ny rindranasa ho tohan-kevitra ho an'ny fampitaovana firejail, ohatra, "firejail firefox" na "sudo firejail /etc/init.d/nginx start".
Ao amin'ny famoahana vaovao:
- Nampiana sivana seccomp ho an'ny antson'ny rafitra izay manakana ny famoronana toeran'ny anarana (nampiana ny safidy "--restrict-namespaces" mba hahafahany). Tabilao antson'ny rafitra sy vondrona seccom nohavaozina.
- Nohatsaraina ny maody force-nonewprivs (NO_NEW_PRIVS), izay manakana ny dingana vaovao tsy hahazo tombontsoa fanampiny.
- Nampiana ny fahafahana mampiasa ny mombamomba anao AppArmor manokana (ny safidy "--apparmor" dia atolotra ho an'ny fifandraisana).
- Ny rafitra fanaraha-maso ny fifamoivoizana amin'ny tambajotra nettrace, izay mampiseho fampahalalana momba ny IP sy ny hamafin'ny fifamoivoizana avy amin'ny adiresy tsirairay, dia mampihatra ny fanohanan'ny ICMP ary manolotra safidy "--dnstrace", "--icmptrace" ary "--snitrace".
- Ny baiko --cgroup sy --shell dia nesorina (ny default dia --shell=none). Ny fananganana Firetunnel dia ajanona amin'ny alΓ lan'ny default. Ny chroot, private-lib ary tracelog no kilemaina ao amin'ny /etc/firejail/firejail.config. natsahatra ny fanohanana ny grsecurity.
Source: opennet.ru