ProHoster > blog > aħbarijiet fuq l-internet > Firejail 0.9.62 Rilaxx tal-Iżolament tal-Applikazzjoni

Firejail 0.9.62 Rilaxx tal-Iżolament tal-Applikazzjoni

Wara sitt xhur ta 'żvilupp disponibbli rilaxx tal-proġett Firejail 0.9.62, li fiha qed tiġi żviluppata sistema għal eżekuzzjoni iżolata ta 'applikazzjonijiet grafiċi, console u server. L-użu ta' Firejail jippermettilek timminimizza r-riskju li tikkomprometti s-sistema ewlenija meta tħaddem programmi mhux affidabbli jew potenzjalment vulnerabbli. Il-programm huwa miktub bil-lingwa Ċ, imqassma minn liċenzjat taħt GPLv2 u jista' jaħdem fuq kwalunkwe distribuzzjoni Linux b'kernel eqdem minn 3.0. Pakketti lesti b'Firejail ippreparat f'formati deb (Debian, Ubuntu) u rpm (CentOS, Fedora).

Għall-iżolament f'Firejail jintużaw namespaces, AppArmor, u filtrazzjoni tas-sejħiet tas-sistema (seccomp-bpf) fil-Linux. Ladarba jitnieda, il-programm u l-proċessi tfal kollha tiegħu jużaw fehmiet separati tar-riżorsi tal-qalba, bħall-munzell tan-netwerk, it-tabella tal-proċess u l-punti tal-muntaġġ. Applikazzjonijiet li huma dipendenti fuq xulxin jistgħu jingħaqdu f'kaxxa tar-ramel komuni waħda. Jekk mixtieq, Firejail jista 'jintuża wkoll biex iħaddem kontenituri Docker, LXC u OpenVZ.

B'differenza mill-għodod ta 'insulazzjoni tal-kontenituri, firejail huwa estremament sempliċi fil-konfigurazzjoni u ma teħtieġx il-preparazzjoni ta 'immaġni tas-sistema - il-kompożizzjoni tal-kontenitur hija ffurmata fuq il-fly ibbażata fuq il-kontenut tas-sistema tal-fajl attwali u titħassar wara li titlesta l-applikazzjoni. Huma pprovduti mezzi flessibbli biex jiġu stabbiliti regoli ta’ aċċess għas-sistema tal-fajls; tista’ tiddetermina liema fajls u direttorji huma permessi jew miċħuda aċċess, qabbad sistemi ta’ fajls temporanji (tmpfs) għad-dejta, tillimita l-aċċess għal fajls jew direttorji biex jinqraw biss, tgħaqqad direttorji permezz bind-mount u overlayfs.

Għal numru kbir ta 'applikazzjonijiet popolari, inklużi Firefox, Chromium, VLC u Trażmissjoni, lesti profili iżolament tas-sejħa tas-sistema. Biex tikseb il-privileġġi meħtieġa biex jitwaqqaf ambjent sandboxed, l-eżekutibbli tal-firejail huwa installat bil-bandiera tal-għeruq SUID (il-privileġġi jiġu reset wara l-inizjalizzazzjoni). Biex tmexxi programm f'mod ta 'iżolament, sempliċement speċifika l-isem tal-applikazzjoni bħala argument għall-utilità firejail, pereżempju, "firejail firefox" jew "sudo firejail /etc/init.d/nginx start".

Fir-rilaxx il-ġdid:

  • Fil-fajl tal-konfigurazzjoni /etc/firejail/firejail.config miżjud issettjar tal-limitu tal-kopja tal-fajl, li jippermettilek tillimita d-daqs tal-fajls li se jiġu kkupjati fil-memorja meta tuża l-għażliet "--private-*" (b'mod awtomatiku l-limitu huwa ssettjat għal 500MB).
  • Mudelli għall-ħolqien ta' profili ġodda ta' restrizzjoni ta' applikazzjoni ġew miżjuda fid-direttorju /usr/share/doc/firejail.
  • Profili jippermettu l-użu ta 'debuggers.
  • Iffiltrar imtejjeb tas-sejħiet tas-sistema bl-użu tal-mekkaniżmu seccomp.
  • L-iskoperta awtomatika tal-bnadar tal-kompilatur hija pprovduta.
  • Is-sejħa chroot m'għadhiex issir ibbażata fuq il-mogħdija, iżda bl-użu ta 'punti ta' muntaġġ ibbażati fuq id-deskrittur tal-fajl.
  • Id-direttorju /usr/share huwa whitelisted minn diversi profili.
  • Ġew miżjuda skripts helper ġodda gdb-firejail.sh u sort.py mat-taqsima conrib.
  • Protezzjoni msaħħa fl-istadju tal-eżekuzzjoni tal-kodiċi privileġġjat (SUID).
  • Għall-profili, ġew implimentati attributi kondizzjonali ġodda HAS_X11 u HAS_NET biex tiġi kkontrollata l-preżenza ta 'server X u aċċess għan-netwerk.
  • Profili miżjuda għat-tnedija ta' applikazzjoni iżolata (in-numru totali ta' profili żdied għal 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync
    • sinjal-cli
    • tcpdump
    • tshark,
    • qgis
    • OpenArena,
    • godot,
    • klatexformula,
    • klatexformula_cmdl,
    • links
    • xlinks,
    • pandoc
    • timijiet għal-linux,
    • gnome-sound-recorder,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • rhythmbox-client,
    • Jerry
    • ħeġġa,
    • mpg123,
    • konplay,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • barra123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-polz,
    • mpg123-strixxa,
    • pavucontrol-qt,
    • karattri gnome,
    • gnome-character-mappa,
    • Għasafar tal-balieni
    • tb-starter-wrapper,
    • bzcat,
    • kiwix-desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar,
    • gnome-latex,
    • pngquant
    • calgebra
    • kalgebramobile,
    • amuled
    • issib,
    • profanità
    • awdjo-rekorder,
    • kameramonitor
    • ddgtk
    • drawio,
    • unf,
    • gmpc,
    • posta elettronika,
    • prinċipali,
    • gist-paste.

Sors: opennet.ru

Żid kumment