төслийн хувилбар , график, консол, серверийн програмуудыг тусгаарлан гүйцэтгэх системийг хөгжүүлж байна. Firejail-ийг ашиглах нь найдваргүй эсвэл эмзэг програмуудыг ажиллуулах үед үндсэн системд халдах эрсдлийг бууруулдаг. Програм нь C хэл дээр бичигдсэн. GPLv2 лицензтэй бөгөөд ямар ч дистрибьютер дээр ажиллах боломжтой Linux 3.0-с хуучин цөмтэй. Firejail-тай бэлэн багцууд deb форматаар (Debian, Ubuntu) болон rpm (CentOS, Федора).
Галын шоронд тусгаарлах зориулалттай namespaces, AppArmor болон системийн дуудлагын шүүлтүүр (seccomp-bpf) дотор Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
Контейнер тусгаарлах төхөөрөмжөөс ялгаатай нь галын шорон нь маш их байдаг Тохиргоо нь системийн дүрсийг бэлтгэх шаардлагагүй - контейнерийн агуулгыг одоогийн файлын системийн агуулгад үндэслэн шууд үүсгэж, програм дууссаны дараа устгана. Файлын системд нэвтрэх уян хатан дүрмүүдээр хангагдсан бөгөөд ямар файлууд болон лавлахуудад хандахыг зөвшөөрөх эсвэл хориглохыг тодорхойлох, өгөгдөлд түр зуурын файлын системийг (tmpfs) холбох, файл эсвэл лавлах хандалтыг зөвхөн уншихаар хязгаарлах, bind-mount болон overlayf ашиглан лавлахуудыг нэгтгэх боломжтой.
Бэлэн залгаасууд нь Firefox, Chromium, VLC, Transmission зэрэг олон тооны алдартай програмуудад зориулагдсан байдаг. Системийн дуудлагыг тусгаарлах. Програмыг тусгаарлах горимд ажиллуулахын тулд "firejail firefox" эсвэл "sudo firejail /etc/init.d/nginx start" гэх мэт програмын нэрийг firejail хэрэгсэлд аргумент болгон зааж өгөхөд л хангалттай.
Шинэ хувилбарт:
- Хортой процесс нь системийн дуудлагыг шүүх механизмыг тойрч гарах боломжийг олгодог эмзэг байдлыг зассан. Энэ эмзэг байдал нь Seccomp шүүлтүүрийг хамгаалагдсан хязгаарлагдмал орчинд бичих боломжтой /run/firejail/mnt сан руу хуулсантай холбоотой юм. Хамгаалалтын горимд эхлүүлсэн хортой процессууд нь эдгээр файлуудыг өөрчлөх боломжтой бөгөөд ингэснээр ижил хамгаалалттай орчинд эхлүүлсэн шинэ процессууд системийн дуудлагын шүүлтүүр ашиглахгүйгээр ажиллахад хүргэдэг.
- Санах ойг үгүйсгэх-бичих-гүйцэтгэх шүүлтүүр нь "memfd_create" дуудлагыг хаасан эсэхийг баталгаажуулдаг;
- Шоронгийн ажлын лавлахыг өөрчлөх шинэ "private-cwd" сонголтыг нэмсэн;
- D-Bus залгууруудыг хаахын тулд "--nodbus" сонголтыг нэмсэн;
- Дэмжлэг сэргээгдсэн CentOS 6;
- форматаар багцуудыг дэмжих и .
эдгээр багцууд өөрсдийн хэрэгслийг ашиглах ёстой; - mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, open, kidut3 зэрэг 87 нэмэлт программыг тусгаарлах шинэ профайлыг нэмсэн. freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp, cantata.
Эх сурвалж: opennet.ru
