рд╕рд╣рд╛ рдорд╣рд┐рдиреНрдпрд╛рдВрдЪреНрдпрд╛ рд╡рд┐рдХрд╛рд╕рд╛рдирдВрддрд░ рдкреНрд░рдХрд▓реНрдк рдкреНрд░рдХрд╛рд╢рди , рдЬреНрдпрд╛рдордзреНрдпреЗ рдЧреНрд░рд╛рдлрд┐рдХрд▓, рдХрдиреНрд╕реЛрд▓ рдЖрдгрд┐ рд╕рд░реНрд╡реНрд╣рд░ рдНрдкреНрд▓рд┐рдХреЗрд╢рдиреНрд╕рдЪреНрдпрд╛ рд╡реЗрдЧрд│реНрдпрд╛ рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреАрд╕рд╛рдареА рдПрдХ рдкреНрд░рдгрд╛рд▓реА рд╡рд┐рдХрд╕рд┐рдд рдХреЗрд▓реА рдЬрд╛рдд рдЖрд╣реЗ. рдлрд╛рдпрд░рдЬреЗрд▓ рд╡рд╛рдкрд░рдгреЗ рддреБрдореНрд╣рд╛рд▓рд╛ рдЕрд╡рд┐рд╢реНрд╡рд╛рд╕реВ рдХрд┐рдВрд╡рд╛ рд╕рдВрднрд╛рд╡реНрдп рдЕрд╕реБрд░рдХреНрд╖рд┐рдд рдкреНрд░реЛрдЧреНрд░рд╛рдо рдЪрд╛рд▓рд╡рддрд╛рдирд╛ рдореБрдЦреНрдп рдкреНрд░рдгрд╛рд▓реАрд╢реА рддрдбрдЬреЛрдб рдХрд░рдгреНрдпрд╛рдЪрд╛ рдзреЛрдХрд╛ рдХрдореА рдХрд░рдгреНрдпрд╛рд╕ рдЕрдиреБрдорддреА рджреЗрддреЗ. рдХрд╛рд░реНрдпрдХреНрд░рдо рд╕реА рднрд╛рд╖реЗрдд рд▓рд┐рд╣рд┐рд▓реЗрд▓рд╛ рдЖрд╣реЗ, GPLv2 рдЕрдВрддрд░реНрдЧрдд рдкрд░рд╡рд╛рдирд╛рдХреГрдд рдЖрдгрд┐ рдХреЛрдгрддреНрдпрд╛рд╣реА рдбрд┐рд╕реНрдЯреНрд░рд┐рдмреНрдпреБрд╢рдирд╡рд░ рдЪрд╛рд▓реВ рд╢рдХрддреЗ. Linux 3.0 рдкреЗрдХреНрд╖рд╛ рдЬреБрдиреНрдпрд╛ рдХрд░реНрдирд▓рд╕рд╣. рдлрд╛рдпрд░рдЬреЗрд▓рд╕рд╣ рддрдпрд╛рд░ рдкреЕрдХреЗрдЬреЗрд╕ рдбреЗрдм рдлреЙрд░рдореЕрдЯрдордзреНрдпреЗ (Debian, Ubuntu) рдЖрдгрд┐ рдЖрд░рдкреАрдПрдо (CentOS, рдлреЗрдбреЛрд░рд╛).
рдлрд╛рдпрд░рдЬреЗрд▓рдордзреНрдпреЗ рдЕрд▓рдЧрд╛рд╡рд╕рд╛рдареА рдиреЗрдорд╕реНрдкреЗрд╕реЗрд╕, рдЕтАНреЕрдкрдЖрд░реНрдорд░ рдЖрдгрд┐ рд╕рд┐рд╕реНрдЯрдо рдХреЙрд▓ рдлрд┐рд▓реНрдЯрд░рд┐рдВрдЧ (рд╕реЗрд╕реНрдХреЙрдореНрдк-рдмреАрдкреАрдПрдл) рдордзреНрдпреЗ LinuxрдПрдХрджрд╛ рд╕реБрд░реВ рдЭрд╛рд▓реНрдпрд╛рд╡рд░, рдПрдХ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдЖрдгрд┐ рддреНрдпрд╛рдЪреНрдпрд╛ рд╕рд░реНрд╡ рдЪрд╛рдЗрд▓реНрдб рдкреНрд░реЛрд╕реЗрд╕ рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреЕрдХ, рдкреНрд░реЛрд╕реЗрд╕ рдЯреЗрдмрд▓ рдЖрдгрд┐ рдорд╛рдЙрдВрдЯ рдкреЙрдЗрдВрдЯреНрд╕ рдпрд╛рдВрд╕рд╛рд░рдЦреНрдпрд╛ рдХрд░реНрдирд▓ рд╕рдВрд╕рд╛рдзрдирд╛рдВрдЪреЗ рд╕реНрд╡рддрдВрддреНрд░ рд╕реНрд╡рд░реВрдк рд╡рд╛рдкрд░рддрд╛рдд. рдкрд░рд╕реНрдкрд░рд╛рд╡рд▓рдВрдмреА ре▓рдкреНрд▓рд┐рдХреЗрд╢рдиреНрд╕ рдПрдХрд╛рдЪ рд╕рд╛рдорд╛рдпрд┐рдХ рд╕рдБрдбрдмреЙрдХреНрд╕рдордзреНрдпреЗ рдПрдХрддреНрд░ рдХреЗрд▓реЗ рдЬрд╛рдК рд╢рдХрддрд╛рдд. рдлрд╛рдпрд░рдЬреЗрд▓рдЪрд╛ рд╡рд╛рдкрд░ рдбреЙрдХрд░, рдПрд▓рдПрдХреНрд╕рд╕реА рдЖрдгрд┐ рдУрдкрдирд╡реНрд╣реАрдЭреЗрдб рдХрдВрдЯреЗрдирд░реНрд╕ рдЪрд╛рд▓рд╡рдгреНрдпрд╛рд╕рд╛рдареА рджреЗрдЦреАрд▓ рдХреЗрд▓рд╛ рдЬрд╛рдК рд╢рдХрддреЛ.
рдХрдВрдЯреЗрдирд░ рдЗрдиреНрд╕реБрд▓реЗрд╢рди рдЯреВрд▓реНрд╕рдЪреНрдпрд╛ рд╡рд┐рдкрд░реАрдд, рдлрд╛рдпрд░рдЬреЗрд▓ рдЕрддреНрдпрдВрдд рдЖрд╣реЗ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рдирд╕рд╛рдареА рд╕рд┐рд╕реНрдЯрдо рдЗрдореЗрдЬ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рдЪреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╛рд╣реАтАФрдХрдВрдЯреЗрдирд░рдЪреА рд╕рд╛рдордЧреНрд░реА рд╕рдзреНрдпрд╛рдЪреНрдпрд╛ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдордЪреНрдпрд╛ рд╕рд╛рдордЧреНрд░реАрд╡рд░ рдЖрдзрд╛рд░рд┐рдд рдлреНрд▓рд╛рдпрд╡рд░ рддрдпрд╛рд░ рдХреЗрд▓реА рдЬрд╛рддреЗ рдЖрдгрд┐ рдЕрдиреБрдкреНрд░рдпреЛрдЧ рд╕рдорд╛рдкреНрдд рдЭрд╛рд▓реНрдпрд╛рдирдВрддрд░ рд╣рдЯрд╡рд┐рд▓реА рдЬрд╛рддреЗ. рд▓рд╡рдЪрд┐рдХ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рд╡реЗрд╢ рдирд┐рдпрдо рдкреНрд░рджрд╛рди рдХреЗрд▓реЗ рдЖрд╣реЗрдд, рдЬреЗ рддреБрдореНрд╣рд╛рд▓рд╛ рдХреЛрдгрддреНрдпрд╛ рдлрд╛рдпрд▓реА рдЖрдгрд┐ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдВрдирд╛ рдкреНрд░рд╡реЗрд╢ рдкрд░рд╡рд╛рдирдЧреА рдЖрд╣реЗ рдХрд┐рдВрд╡рд╛ рдирд╛рдХрд╛рд░рд▓рд╛ рдЖрд╣реЗ рд╣реЗ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддрд╛рдд, рдбреЗрдЯрд╛рд╕рд╛рдареА рддрд╛рддреНрдкреБрд░рддреА рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо (tmpfs) рдорд╛рдЙрдВрдЯ рдХрд░рддрд╛рдд, рдлрд╛рдпрд▓реА рдХрд┐рдВрд╡рд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдВрдордзреНрдпреЗ рдХреЗрд╡рд│ рд╡рд╛рдЪрдиреАрдп рдкреНрд░рд╡реЗрд╢ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддрд╛рдд рдЖрдгрд┐ рдмрд╛рдЗрдВрдб-рдорд╛рдЙрдВрдЯ рдЖрдгрд┐ рдУрд╡реНрд╣рд░рд▓реЗрдПрдл рд╡рд╛рдкрд░реВрди рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдПрдХрддреНрд░ рдХрд░рддрд╛рдд.
рдлрд╛рдпрд░рдлреЙрдХреНрд╕, рдХреНрд░реЛрдорд┐рдпрдо, рд╡реНрд╣реАрдПрд▓рд╕реА рдЖрдгрд┐ рдЯреНрд░рд╛рдиреНрд╕рдорд┐рд╢рдирд╕рд╣ рдореЛрдареНрдпрд╛ рд╕рдВрдЦреНрдпреЗрдиреЗ рд▓реЛрдХрдкреНрд░рд┐рдп рдЕрдиреБрдкреНрд░рдпреЛрдЧрд╛рдВрд╕рд╛рдареА, рддрдпрд╛рд░ рд╕рд┐рд╕реНрдЯрдо рдХреЙрд▓реНрд╕рдЪреЗ рдЖрдпрд╕реЛрд▓реЗрд╢рди. рдЖрдпрд╕реЛрд▓реЗрдЯреЗрдб рдПрдиреНрд╡реНрд╣рд╛рдпрд░реНрдирдореЗрдВрдЯ рд╕реЗрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдЖрд╡рд╢реНрдпрдХ рдЕрд╕рд▓реЗрд▓реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдорд┐рд│рд╡рд┐рдгреНрдпрд╛рд╕рд╛рдареА, рдлрд╛рдпрд░рдЬреЗрд▓ рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ SUID рд░реВрдЯ рдлреНрд▓реЕрдЧрд╕рд╣ рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓реЗ рдЬрд╛рддреЗ (рдЗрдирд┐рд╢рд┐рдпрд▓рд╛рдпрдЭреЗрд╢рди рдирдВрддрд░ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд░реАрд╕реЗрдЯ рдХреЗрд▓реЗ рдЬрд╛рддрд╛рдд). рдЖрдпрд╕реЛрд▓реЗрд╢рди рдореЛрдбрдордзреНрдпреЗ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдЪрд╛рд▓рд╡рдгреНрдпрд╛рд╕рд╛рдареА, рдлрд╛рдпрд░рдЬреЗрд▓ рдпреБрдЯрд┐рд▓рд┐рдЯреАрд╕рд╛рдареА рдлрдХреНрдд рдЕреЕрдкреНрд▓рд┐рдХреЗрд╢рдирдЪреЗ рдирд╛рд╡ рд╡рд┐рддрд░реНрдХ рдореНрд╣рдгреВрди рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рд╛, рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, "рдлрд╛рдпрд░рдЬреЗрд▓ рдлрд╛рдпрд░рдлреЙрдХреНрд╕" рдХрд┐рдВрд╡рд╛ "sudo firejail /etc/init.d/nginx start."
рдирд╡реАрди рдкреНрд░рдХрд╛рд╢рдирд╛рдд:
- /etc/firejail/firejail.config рдпрд╛ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди рдлрд╛рдЗрд▓рдордзреНрдпреЗ рдлрд╛рдЗрд▓-рдХреЙрдкреА-рд▓рд┐рдорд┐рдЯ рд╕реЗрдЯрд┐рдВрдЧ, рдЬреА рддреБрдореНрд╣рд╛рд▓рд╛ "--private-*" рдкрд░реНрдпрд╛рдп рд╡рд╛рдкрд░рддрд╛рдирд╛ рдореЗрдорд░реАрдордзреНрдпреЗ рдХреЙрдкреА рдХреЗрд▓реНрдпрд╛ рдЬрд╛рдгрд╛рд▒реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рдЪрд╛ рдЖрдХрд╛рд░ рдорд░реНрдпрд╛рджрд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЗ (рдбрд┐рдлреЙрд▓реНрдЯрдиреБрд╕рд╛рд░, рдорд░реНрдпрд╛рджрд╛ 500MB рд╡рд░ рд╕реЗрдЯ рдХреЗрд▓реА рдЬрд╛рддреЗ).
- рдирд╡реАрди рдЕрдиреБрдкреНрд░рдпреЛрдЧ рдкреНрд░рддрд┐рдмрдВрдз рдкреНрд░реЛрдлрд╛рдЗрд▓ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ /usr/share/doc/firejail рдирд┐рд░реНрджреЗрд╢рд┐рдХреЗрдд рдЬреЛрдбрдгреНрдпрд╛рдд рдЖрд▓реЗ рдЖрд╣реЗрдд.
- рдкреНрд░реЛрдлрд╛рдЗрд▓рдордзреНрдпреЗ рдбреАрдмрдЧрд░рдирд╛ рдкрд░рд╡рд╛рдирдЧреА рдЖрд╣реЗ.
- seccomp рдпрдВрддреНрд░рдгреЗрдЪрд╛ рд╡рд╛рдкрд░ рдХрд░реВрди рд╕рд┐рд╕реНрдЯрдо рдХреЙрд▓рдЪреЗ рд╕реБрдзрд╛рд░рд┐рдд рдлрд┐рд▓реНрдЯрд░рд┐рдВрдЧ.
- рдХрдВрдкрд╛рдпрд▓рд░ рдлреНрд▓реЕрдЧреНрдЬрдЪреА рд╕реНрд╡рдпрдВрдЪрд▓рд┐рдд рдУрд│рдЦ рдкреНрд░рджрд╛рди рдХреЗрд▓реА рдЖрд╣реЗ.
- chroot рдЗрдирд╡реНрд╣реЛрдХреЗрд╢рди рдЖрддрд╛ рдкрде-рдЖрдзрд╛рд░рд┐рдд рдорд╛рдЙрдВрдЯ рдкреЙрдЗрдВрдЯреНрд╕рдРрд╡рдЬреА рдлрд╛рдЗрд▓ рдбрд┐рд╕реНрдХреНрд░рд┐рдкреНрдЯрд░-рдЖрдзрд╛рд░рд┐рдд рдорд╛рдЙрдВрдЯ рдкреЙрдЗрдВрдЯреНрд╕ рд╡рд╛рдкрд░реВрди рдХреЗрд▓реЗ рдЬрд╛рддреЗ.
- /usr/share рдбрд╛рдпрд░реЗрдХреНрдЯрд░реА рд╡рд┐рд╡рд┐рдз рдкреНрд░реЛрдлрд╛рдЗрд▓рд╕рд╛рдареА рд╢реНрд╡реЗрддрд╕реВрдЪреАрдмрджреНрдз рдХреЗрд▓реА рдЧреЗрд▓реА рдЖрд╣реЗ.
- conrib рд╡рд┐рднрд╛рдЧрд╛рдд рдирд╡реАрди рд╣реЗрд▓реНрдкрд░ рд╕реНрдХреНрд░рд┐рдкреНрдЯ gdb-firejail.sh рдЖрдгрд┐ sort.py рдЬреЛрдбрд▓реНрдпрд╛ рдЧреЗрд▓реНрдпрд╛ рдЖрд╣реЗрдд.
- рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░рд┐рдд рдХреЛрдб рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рдЯрдкреНрдкреНрдпрд╛рд╡рд░ (SUID) рдордЬрдмреВрдд рд╕рдВрд░рдХреНрд╖рдг.
- X рд╕рд░реНрд╡реНрд╣рд░ рдЖрдгрд┐ рдиреЗрдЯрд╡рд░реНрдХ рдкреНрд░рд╡реЗрд╢рд╛рдЪреА рдЙрдкрд╕реНрдерд┐рддреА рддрдкрд╛рд╕рдгреНрдпрд╛рд╕рд╛рдареА рдкреНрд░реЛрдлрд╛рдЗрд▓рд╕рд╛рдареА рдирд╡реАрди рд╕рд╢рд░реНрдд рд╡реИрд╢рд┐рд╖реНрдЯреНрдпреЗ HAS_X11 рдЖрдгрд┐ HAS_NET рд▓рд╛рдЧреВ рдХреЗрд▓реА рдЖрд╣реЗрдд.
- рд╡реЗрдЧрд│реНрдпрд╛ рдЕреЕрдкреНрд▓рд┐рдХреЗрд╢рди рд▓рд╛рдБрдЪрд╕рд╛рдареА рдкреНрд░реЛрдлрд╛рдЗрд▓ рдЬреЛрдбрд▓реЗ (рдкреНрд░реЛрдлрд╛рдЗрд▓рдЪреА рдПрдХреВрдг рд╕рдВрдЦреНрдпрд╛ 884 рдкрд░реНрдпрдВрдд рд╡рд╛рдврд╡рд▓реА рдЖрд╣реЗ):
- рдЖрдпреирдкреА,
- рдЯреЙрд░-рдмреНрд░рд╛рдЙрдЭрд░ (AUR),
- рдЭреБрд▓рд┐рдк,
- рдЖрд░рдПрд╕рдПрдирд╕реАрдПрдирд╕реА,
- рд╕рд┐рдЧреНрдирд▓-рдХреНрд▓рд╛рдпрдВрдЯ,
- рдЯреАрд╕реАрдкреАрдбрдВрдк,
- рд╢рд╛рд░реНрдХ,
- рдХреНрдпреВрдЬреАрдЖрдпрдПрд╕,
- рдУрдкрдирдЕрд░реЗрдирд╛,
- рдЧреЛрдбреЛрдЯ,
- рдХреНрд▓реЗрдЯреЗрдХреНрд╕ рд╕реВрддреНрд░,
- рдХреНрд▓реЗрдЯреЗрдХ рд╕реВрддреНрд░_рд╕реЗрдореАрдбреАрдПрд▓,
- рджреБрд╡реЗ,
- рдПрдХреНрд╕рд▓рд┐рдВрдХреНрд╕,
- рдкреЕрдВрдбреЛрдХ,
- рд▓рд┐рдирдХреНрд╕рд╕рд╛рдареА рдЯреАрдореНрд╕,
- рдЧреНрдиреЛрдо-рд╕рд╛рдЙрдВрдб-рд░реЗрдХреЙрд░реНрдбрд░,
- рдиреНрдпреВрдЬрдмреНрдпреБрдЯрд░,
- keepassxc-рдХреНрд▓рд╛рдпрдВрдЯ,
- keepassxc-рдкреНрд░реЙрдХреНрд╕реА,
- рд░рд┐рджрдордмреЙрдХреНрд╕-рдХреНрд▓рд╛рдпрдВрдЯ,
- рдЬреЗрд░реА,
- рдЖрд╡реЗрд╢,
- рдПрдордкреАрдЬреАрезреирей,
- рдЦреЗрд│рдгреЗ,
- mpg123.bin,
- mpgрезреирей-рдЕрд▓реНрд╕рд╛,
- mpg123-id3dump,
- резреирей рдкреИрдХреА,
- mpg123-рдЬреЕрдХ,
- mpgрезреирей-рдПрдирдПрдПрд╕,
- mpg123-рдУрдкрдирд▓,
- mpgрезреирей-рдУрдПрд╕,
- mpg123-рдкреЛрд░реНрдЯрдСрдбрд┐рдУ,
- mpgрезреирей-рдкрд▓реНрд╕,
- mpgрезреирей-рдкрдЯреНрдЯреА,
- рдкреЗрд╡реНрд╣реБрдХрдВрдЯреНрд░реЛрд▓-рдХреНрдпреВрдЯреА,
- рдЬреАрдиреЛрдо-рд╡рд░реНрдг,
- рдЬреАрдиреЛрдо-рдХреЕрд░реЗрдХреНрдЯрд░-рдореЕрдк,
- рд╡реНрд╣реЗрд▓рдмрд░реНрдб,
- рдЯреАрдмреА-рд╕реНрдЯрд╛рд░реНрдЯрд░-рд░реЕрдкрд░,
- рдмреАрдЭреЗрдбрдХреЕрдЯ,
- рдХрд┐рд╡рд┐рдХреНрд╕-рдбреЗрд╕реНрдХрдЯреЙрдк,
- рдмреАрдЭреЗрдбрдХреЕрдЯ,
- рдЭреЗрдбрдПрд╕рдЯреАрдбреА,
- рдкреАрдЭреЗрдбрдПрд╕рдЯреАрдбреА,
- рдЭреЗрдбрдПрд╕рдЯреАрдбреАрдХреЕрдЯ,
- zstdgrep,
- рдЭреЗрдбрдПрд╕рдЯреАрдбреАрд▓реЗрд╕,
- рдЭреЗрдбрдПрд╕рдЯреАрдбреАрдПрдордЯреА,
- рдЕрдирдЭреЗрдбрдПрд╕рдЯреАрдбреА,
- рдПрдЖрд░,
- рдЧреНрдиреЛрдо-рд▓реЗрдЯреЗрдХреНрд╕,
- png рдХреНрд╡рд╛рдВрдЯ,
- рдХреЕрд▓реНрдЧреЗрдмреНрд░рд╛,
- рдХреЕрд▓реНрдЬреЗрдмреНрд░рд╛рдореЛрдмрд╛рдИрд▓,
- рддрд╛рдмреАрдЬ рдХреЗрд▓реЗрд▓реЗ,
- рд╢реЛрдзрдгреЗ,
- рдЕрд╕рднреНрдпрддрд╛,
- рдСрдбрд┐рдУ рд░реЗрдХреЙрд░реНрдбрд░,
- рдХреЕрдореЗрд░рд╛ рдореЙрдирд┐рдЯрд░,
- рдбреАрдбреАрдЬреАрдЯреАрдХреЗ,
- рдбреНрд░реЙрдЗрдУ,
- рдЕрдирдл,
- рдЬреАрдПрдордкреАрд╕реА,
- рдИрдореЗрд▓,
- рд╕рд╛рд░рд╛рдВрд╢,
- рд╕рд╛рд░рд╛рдВрд╢-рдкреЗрд╕реНрдЯ.
рд╕реНрддреНрд░реЛрдд: opennet.ru
