famoahana tetikasa , ao anatin'izany ny rafitra novolavolaina ho an'ny fanatanterahana mitokana ny rindranasan-tsary, console ary mpizara. Ny fampiasana Firejail dia ahafahanao manamaivana ny loza mety hanimba ny rafitra lehibe rehefa mampandeha programa tsy azo itokisana na mety ho marefo. Ny programa dia voasoratra amin'ny fiteny C, nahazo alalana tamin'ny GPLv2 ary afaka mandeha amin'ny fizarana Linux rehetra misy kernel efa antitra 3.0. Fonosana vonona miaraka amin'ny Firejail amin'ny endrika deb (Debian, Ubuntu) ary rpm (CentOS, Fedora).
Ho an'ny fitokanana ao amin'ny Firejail namespaces, AppArmor, ary sivana antso an-tariby (seccomp-bpf) amin'ny Linux. Rehefa natomboka, ny programa sy ny fizotry ny zanany rehetra dia mampiasa fomba fijery misaraka amin'ny loharano kernel, toy ny tambazotran'ny tambazotra, latabatra fizotry, ary teboka fametrahana. Ny fampiharana izay miankina amin'ny tsirairay dia azo atambatra ao anaty boaty fasika mahazatra. Raha tiana dia azo ampiasaina koa ny Firejail hampandehanana ireo kaontenera Docker, LXC ary OpenVZ.
Tsy toy ny fitaovana insulation container, ny firejail dia tena be ao amin'ny fanamafisana ary tsy mitaky ny fanomanana sary rafitra - ny firafitry ny kaontenera dia miforona amin'ny lalitra mifototra amin'ny votoatin'ny rafitra rakitra ankehitriny ary voafafa rehefa vita ny fampiharana. Omena fitaovana mora azo amin'ny fametrahana fitsipika fidirana amin'ny rafi-drakitra; azonao atao ny mamaritra hoe iza amin'ireo rakitra sy lahatahiry no avela na nolavina ny fidirana, mampifandray ny rafitra rakitra vonjimaika (tmpfs) ho an'ny angona, mametra ny fidirana amin'ny rakitra na lahatahiry ho vakiana fotsiny, manambatra ny lahatahiry amin'ny alΓ lan'ny bid-mount sy overlayfs.
Ho an'ny fampiharana malaza marobe, anisan'izany ny Firefox, Chromium, VLC ary Transmission, efa vita System antso fitokana-monina. Mba hampandehanana programa amin'ny fomba mitoka-monina, mariho tsotra izao ny anaran'ny rindranasa ho tohan-kevitra ho an'ny fampitaovana firejail, ohatra, "firejail firefox" na "sudo firejail /etc/init.d/nginx start".
Ao amin'ny famoahana vaovao:
- Ny vulnerable izay mamela ny dingana maloto handalo ny rafitra famerana antso an-tariby dia raikitra. Ny fototry ny vulnerability dia ny sivana Seccomp dia adika amin'ny lahatahiry / run/firejail/mnt, izay azo soratana ao anatin'ny tontolo mitoka-monina. Ny dingana maloto mandeha amin'ny fomba mitoka-monina dia afaka manova ireo rakitra ireo, izay hahatonga ireo dingana vaovao mandeha amin'ny tontolo mitovy tsy misy fampiharana ny sivana antso an-tariby;
- Ny sivana memory-deny-write-execute dia miantoka fa voasakana ny antso "memfd_create";
- Nampiana safidy vaovao "private-cwd" hanovana ny lahatahiry miasa ho an'ny fonja;
- Nampiana safidy "--nodbus" hanakanana ny socket D-Bus;
- Niverina ny fanohanana ny CentOS 6;
- fanohanana fonosana amin'ny endrika ΠΈ .
fa ireo fonosana ireo dia tokony hampiasa ny fitaovany manokana; - Nampiana ny mombamomba vaovao mba hanavahana programa fanampiny 87, anisan'izany ny mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ary cantata.
Source: opennet.ru