Keluaran projek Firejail 0.9.72 telah diterbitkan, yang membangunkan sistem untuk pelaksanaan terpencil bagi aplikasi grafik, konsol dan pelayan, yang membolehkan untuk meminimumkan risiko menjejaskan sistem utama apabila menjalankan program yang tidak boleh dipercayai atau berpotensi terdedah. Program ini ditulis dalam C, diedarkan di bawah lesen GPLv2 dan boleh dijalankan pada mana-mana pengedaran Linux dengan kernel lebih lama daripada 3.0. Pakej Firejail sedia dibuat disediakan dalam format deb (Debian, Ubuntu) dan rpm (CentOS, Fedora).
Untuk pengasingan, Firejail menggunakan ruang nama, AppArmor dan penapisan panggilan sistem (seccomp-bpf) pada Linux. Setelah dilancarkan, program dan semua proses anaknya menggunakan pandangan berasingan sumber kernel, seperti susunan rangkaian, jadual proses dan titik lekap. Aplikasi yang bergantung antara satu sama lain boleh digabungkan menjadi satu kotak pasir biasa. Jika dikehendaki, Firejail juga boleh digunakan untuk menjalankan bekas Docker, LXC dan OpenVZ.
Tidak seperti alat pengasingan kontena, penjara api sangat mudah untuk dikonfigurasikan dan tidak memerlukan penyediaan imej sistem - komposisi kontena terbentuk dengan cepat berdasarkan kandungan sistem fail semasa dan dipadamkan selepas aplikasi selesai. Cara yang fleksibel untuk menetapkan peraturan akses kepada sistem fail disediakan; anda boleh menentukan fail dan direktori yang dibenarkan atau dinafikan akses, menyambungkan sistem fail sementara (tmpfs) untuk data, mengehadkan akses kepada fail atau direktori kepada baca sahaja, menggabungkan direktori melalui bind-mount dan overlayf.
Untuk sejumlah besar aplikasi popular, termasuk Firefox, Chromium, VLC dan Transmisi, profil pengasingan panggilan sistem siap sedia telah disediakan. Untuk mendapatkan keistimewaan yang diperlukan untuk menyediakan persekitaran kotak pasir, penjara api boleh laku dipasang dengan bendera akar SUID (keistimewaan ditetapkan semula selepas permulaan). Untuk menjalankan program dalam mod pengasingan, hanya nyatakan nama aplikasi sebagai hujah kepada utiliti penjara api, contohnya, "firejail firefox" atau "sudo firejail /etc/init.d/nginx start".
Dalam keluaran baharu:
- Menambah penapis seccomp untuk panggilan sistem yang menyekat penciptaan ruang nama (pilihan "--restrict-namespaces" telah ditambahkan untuk membolehkan). Jadual panggilan sistem dan kumpulan seccom dikemas kini.
- Mod force-nonewprivs (NO_NEW_PRIVS) dipertingkatkan, yang menghalang proses baharu daripada mendapat keistimewaan tambahan.
- Menambahkan keupayaan untuk menggunakan profil AppArmor anda sendiri (pilihan "--apparmor" ditawarkan untuk sambungan).
- Sistem penjejakan trafik rangkaian nettrace, yang memaparkan maklumat tentang IP dan intensiti trafik dari setiap alamat, melaksanakan sokongan ICMP dan menawarkan pilihan "--dnstrace", "--icmptrace" dan "--snitrace".
- Arahan --cgroup dan --shell telah dialih keluar (lalai ialah --shell=none). Binaan Firetunnel dihentikan secara lalai. Tetapan chroot, private-lib dan tracelog dilumpuhkan dalam /etc/firejail/firejail.config. sokongan grsecurity telah dihentikan.
Sumber: opennet.ru