keluaran projek , di mana sistem sedang dibangunkan untuk pelaksanaan terpencil bagi aplikasi grafik, konsol dan pelayan. Menggunakan Firejail membolehkan anda meminimumkan risiko menjejaskan sistem utama apabila menjalankan program yang tidak boleh dipercayai atau berpotensi terdedah. Program ini ditulis dalam bahasa C, dilesenkan di bawah GPLv2 dan boleh dijalankan pada mana-mana pengedaran Linux dengan kernel lebih lama daripada 3.0. Pakej sedia dengan Firejail dalam format deb (Debian, Ubuntu) dan rpm (CentOS, Fedora).
Untuk pengasingan di Firejail ruang nama, AppArmor dan penapisan panggilan sistem (seccomp-bpf) dalam Linux. Setelah dilancarkan, program dan semua proses anaknya menggunakan pandangan berasingan sumber kernel, seperti susunan rangkaian, jadual proses dan titik lekap. Aplikasi yang bergantung antara satu sama lain boleh digabungkan menjadi satu kotak pasir biasa. Jika dikehendaki, Firejail juga boleh digunakan untuk menjalankan bekas Docker, LXC dan OpenVZ.
Tidak seperti alat penebat kontena, penjara api adalah sangat dalam konfigurasi dan tidak memerlukan penyediaan imej sistem - komposisi kontena dibentuk dengan cepat berdasarkan kandungan sistem fail semasa dan dipadamkan selepas aplikasi selesai. Cara yang fleksibel untuk menetapkan peraturan akses kepada sistem fail disediakan; anda boleh menentukan fail dan direktori yang dibenarkan atau dinafikan akses, menyambungkan sistem fail sementara (tmpfs) untuk data, mengehadkan akses kepada fail atau direktori kepada baca sahaja, menggabungkan direktori melalui bind-mount dan overlayf.
Untuk sebilangan besar aplikasi popular, termasuk Firefox, Chromium, VLC dan Transmisi, sedia dibuat pengasingan panggilan sistem. Untuk menjalankan program dalam mod pengasingan, hanya nyatakan nama aplikasi sebagai hujah kepada utiliti penjara api, contohnya, "firejail firefox" atau "sudo firejail /etc/init.d/nginx start".
Dalam keluaran baharu:
- Kerentanan yang membenarkan proses berniat jahat untuk memintas mekanisme sekatan panggilan sistem telah diperbaiki. Intipati kelemahan ialah penapis Seccomp disalin ke direktori /run/firejail/mnt, yang boleh ditulis dalam persekitaran terpencil. Proses hasad yang berjalan dalam mod pengasingan boleh mengubah suai fail ini, yang akan menyebabkan proses baharu berjalan dalam persekitaran yang sama dilaksanakan tanpa menggunakan penapis panggilan sistem;
- Penapis memory-deny-write-execute memastikan bahawa panggilan "memfd_create" disekat;
- Menambah pilihan baharu "private-cwd" untuk menukar direktori kerja untuk penjara;
- Menambahkan pilihan "--nodbus" untuk menyekat soket D-Bus;
- Mengembalikan sokongan untuk CentOS 6;
- sokongan untuk pakej dalam format ΠΈ .
bahawa pakej ini harus menggunakan perkakas mereka sendiri; - Profil baharu telah ditambah untuk mengasingkan 87 atur cara tambahan, termasuk mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp dan cantata.
Sumber: opennet.ru