төслийн хувилбар , түүний дотор график, консол болон серверийн програмуудыг тусад нь гүйцэтгэх системийг боловсруулж байна. Firejail-ийг ашигласнаар найдваргүй эсвэл эмзэг програмуудыг ажиллуулах үед үндсэн системд халдах эрсдэлийг багасгах боломжийг олгодог. Програм нь Си хэл дээр бичигдсэн, GPLv2-ийн дагуу лицензтэй бөгөөд 3.0-с дээш хувилбартай цөмтэй дурын Linux түгээлт дээр ажиллах боломжтой. Firejail-тэй бэлэн багцууд deb (Debian, Ubuntu) болон rpm (CentOS, Fedora) форматаар.
Галын шоронд тусгаарлах зориулалттай Линукс дээрх нэрийн орон зай, AppArmor болон системийн дуудлагын шүүлтүүр (seccomp-bpf). Хөтөлбөрийг эхлүүлсний дараагаар программ болон түүний бүх хүүхэд процессууд нь сүлжээний стек, процессын хүснэгт, холбох цэг зэрэг цөмийн нөөцийг тусад нь хардаг. Бие биенээсээ хамааралтай програмуудыг нэг нийтлэг хамгаалагдсан хязгаарлагдмал орчинд нэгтгэж болно. Хэрэв хүсвэл Firejail-ийг Docker, LXC, OpenVZ контейнер ажиллуулахад ашиглаж болно.
Контейнерийн дулаалгын хэрэгслээс ялгаатай нь галын шорон нь маш их байдаг тохиргоонд байгаа бөгөөд системийн дүрсийг бэлтгэх шаардлагагүй - савны найрлага нь одоогийн файлын системийн агуулгад үндэслэн шууд үүсдэг бөгөөд програм дууссаны дараа устгагдах болно. Файлын системд хандах дүрмийг тохируулах уян хатан арга хэрэгсэл бий; та ямар файл, директорт хандахыг зөвшөөрөх эсвэл хориглохыг тодорхойлох, өгөгдөлд түр зуурын файлын системийг (tmpfs) холбох, зөвхөн унших боломжтой файл эсвэл лавлах хандалтыг хязгаарлах, лавлахуудыг нэгтгэх боломжтой. bind-mount and overlayfs.
Firefox, Chromium, VLC, Transmission зэрэг олон тооны алдартай програмуудад зориулагдсан системийн дуудлагыг тусгаарлах. Програмыг тусгаарлах горимд ажиллуулахын тулд "firejail firefox" эсвэл "sudo firejail /etc/init.d/nginx start" гэх мэт програмын нэрийг firejail хэрэгсэлд аргумент болгон зааж өгөхөд л хангалттай.
Шинэ хувилбарт:
- Хортой процесс нь системийн дуудлагыг хязгаарлах механизмыг тойрч гарах боломжийг олгодог эмзэг байдлыг зассан. Эмзэг байдлын мөн чанар нь Seccomp шүүлтүүрийг тусгаарлагдсан орчинд бичих боломжтой /run/firejail/mnt сан руу хуулсан явдал юм. Тусгаарлах горимд ажиллаж байгаа хортой процессууд нь эдгээр файлуудыг өөрчлөх боломжтой бөгөөд энэ нь ижил орчинд ажиллаж байгаа шинэ процессуудыг системийн дуудлагын шүүлтүүр ашиглахгүйгээр гүйцэтгэхэд хүргэдэг;
- Санах ойг үгүйсгэх-бичих-гүйцэтгэх шүүлтүүр нь “memfd_create” дуудлагыг блоклодог;
- Шоронгийн ажлын лавлахыг өөрчлөх шинэ "private-cwd" сонголтыг нэмсэн;
- D-Bus залгууруудыг хаахын тулд "--nodbus" сонголтыг нэмсэн;
- CentOS 6-д буцаж ирсэн дэмжлэг;
- форматаар багцуудыг дэмжих и .
эдгээр багцууд нь өөрийн багаж хэрэгслийг ашиглах ёстой; - mypaint, nano, xfce87-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, зэрэг 4 нэмэлт программыг тусгаарлахын тулд шинэ профайлуудыг нэмсэн. freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp болон cantata.
Эх сурвалж: opennet.ru