Firejail 0.9.72 ပရောဂျက်ကို ထုတ်ဝေခဲ့ပြီး၊ မယုံကြည်ရထိုက်သော သို့မဟုတ် အားနည်းနိုင်ချေရှိသော ပရိုဂရမ်များကို လုပ်ဆောင်သည့်အခါ ပင်မစနစ်အား ထိခိုက်နိုင်ခြေကို လျှော့ချနိုင်စေမည့် ဂရပ်ဖစ်၊ ကွန်ဆိုးလ်နှင့် ဆာဗာအပလီကေးရှင်းများကို သီးခြားလုပ်ဆောင်ခြင်းအတွက် စနစ်တစ်ခုကို တီထွင်ထုတ်လုပ်ထားသည်။ ပရိုဂရမ်ကို C ဖြင့်ရေးသားထားပြီး GPLv2 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားပြီး 3.0 ထက်ကြီးသော kernel ရှိသည့် မည်သည့် Linux ဖြန့်ဖြူးမှုတွင်မဆို လုပ်ဆောင်နိုင်သည်။ အဆင်သင့်လုပ်ထားသော Firejail ပက်ကေ့ဂျ်များကို deb (Debian၊ Ubuntu) နှင့် rpm (CentOS, Fedora) ဖော်မတ်များဖြင့် ပြင်ဆင်ထားပါသည်။
အထီးကျန်မှုအတွက် Firejail သည် Linux တွင် namespaces၊ AppArmor နှင့် system call filtering (seccomp-bpf) ကိုအသုံးပြုသည်။ စတင်လိုက်သည်နှင့်၊ ပရိုဂရမ်နှင့် ၎င်း၏ ကလေးလုပ်ငန်းစဉ်များအားလုံးသည် network stack၊ process table နှင့် mount point များကဲ့သို့သော kernel အရင်းအမြစ်များ၏ သီးခြားအမြင်များကို အသုံးပြုပါသည်။ တစ်ခုနှင့်တစ်ခု မှီခိုနေရသော အပလီကေးရှင်းများကို ဘုံ sandbox တစ်ခုအဖြစ် ပေါင်းစပ်နိုင်သည်။ ဆန္ဒရှိပါက Firejail ကို Docker၊ LXC နှင့် OpenVZ ကွန်တိန်နာများကို အသုံးပြုနိုင်သည်။
container isolation tools များနှင့်မတူဘဲ firejail သည် configure လုပ်ရန် အလွန်ရိုးရှင်းပြီး system image တစ်ခု၏ ပြင်ဆင်မှု မလိုအပ်ပါ - ကွန်တိန်နာဖွဲ့စည်းမှုအား လက်ရှိဖိုင်စနစ်၏ အကြောင်းအရာများအပေါ် အခြေခံ၍ ပျံသန်းပြီး အပလီကေးရှင်းပြီးဆုံးပြီးနောက် ဖျက်လိုက်ပါသည်။ ဖိုင်စနစ်သို့ ဝင်ရောက်ခွင့်စည်းမျဉ်းများ သတ်မှတ်ခြင်း၏ ပြောင်းလွယ်ပြင်လွယ်နည်းလမ်းများကို ပံ့ပိုးပေးသည်၊ သင်သည် မည်သည့်ဖိုင်များနှင့် လမ်းညွှန်များကို ခွင့်ပြုထားသည် သို့မဟုတ် ဝင်ရောက်ခွင့်ကို ငြင်းပယ်နိုင်သည်၊ ဒေတာအတွက် ယာယီဖိုင်စနစ်များ (tmpfs) ချိတ်ဆက်ရန်၊ ဖိုင်များ သို့မဟုတ် လမ်းညွှန်များသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်နိုင်သည်၊ လမ်းညွှန်များမှတဆင့် ပေါင်းစည်းနိုင်သည်။ bind-mount နှင့် overlayf များ။
Firefox၊ Chromium၊ VLC နှင့် Transmission အပါအဝင် နာမည်ကြီး အပလီကေးရှင်း အများအပြားအတွက် အဆင်သင့်လုပ်ထားသော စနစ်ခေါ်ဆိုမှု သီးခြားပရိုဖိုင်များကို ပြင်ဆင်ပြီးဖြစ်သည်။ sandboxed ပတ်၀န်းကျင်ကိုတည်ဆောက်ရန် လိုအပ်သောအခွင့်ထူးများကိုရယူရန်၊ firejail executable ကို SUID root flag ဖြင့်ထည့်သွင်းထားသည် (အခွင့်ထူးများကိုစတင်ပြီးနောက်ပြန်လည်သတ်မှတ်သည်)။ သီးခြားမုဒ်တွင် ပရိုဂရမ်တစ်ခုကို လုပ်ဆောင်ရန်၊ firejail utility အတွက် အငြင်းအခုံအဖြစ် အပလီကေးရှင်းအမည်ကို ရိုးရှင်းစွာ သတ်မှတ်ပါ ဥပမာ၊ "firejail firefox" သို့မဟုတ် "sudo firejail /etc/init.d/nginx start" ။
ထုတ်ဝေမှုအသစ်တွင်-
- namespaces ဖန်တီးမှုကို ပိတ်ဆို့သည့် စနစ်ခေါ်ဆိုမှုများအတွက် seccomp filter ကို ပေါင်းထည့်ခဲ့သည် (ဖွင့်ရန် "--restrict-namespaces" option ကို ပေါင်းထည့်ထားသည်)။ စနစ်ခေါ်ဆိုမှုဇယားများနှင့် seccomp အုပ်စုများကို အပ်ဒိတ်လုပ်ထားသည်။
- မြှင့်တင်ထားသော force-nonewprivs မုဒ် (NO_NEW_PRIVS) သည် လုပ်ငန်းစဉ်အသစ်များကို ထပ်လောင်းအခွင့်အရေးများမရရှိစေရန် တားဆီးပေးသည်။
- သင့်ကိုယ်ပိုင် AppArmor ပရိုဖိုင်များကို အသုံးပြုရန် စွမ်းရည်ကို ထည့်သွင်းခဲ့သည် (“--apparmor” ရွေးချယ်မှုကို ချိတ်ဆက်ရန်အတွက် ကမ်းလှမ်းထားသည်)။
- လိပ်စာတစ်ခုစီမှ IP နှင့် ယာဉ်ကြောအသွားအလာပြင်းထန်မှုဆိုင်ရာ အချက်အလက်များကိုပြသပေးသည့် nettrace ကွန်ရက်အသွားအလာ ခြေရာခံစနစ်သည် ICMP ပံ့ပိုးမှုကို အကောင်အထည်ဖော်ပြီး "--dnstrace", "--icmptrace" နှင့် "--snitrace" ရွေးချယ်မှုများကို ပေးဆောင်ပါသည်။
- --cgroup နှင့် --shell အမိန့်များကို ဖယ်ရှားလိုက်ပါပြီ (မူရင်းမှာ --shell=none)။ Firetunnel တည်ဆောက်မှုကို မူရင်းအတိုင်း ရပ်ထားသည်။ /etc/firejail/firejail.config ရှိ chroot၊ private-lib နှင့် tracelog ဆက်တင်များကို ပိတ်ထားသည်။ လုံခြုံရေး အထောက်အပံ့ကို ရပ်ဆိုင်းလိုက်ပါပြီ။
source: opennet.ru