စီမံကိန်းထုတ်ပြန်ခြင်း။ ဂရပ်ဖစ်၊ ကွန်ဆိုးလ်နှင့် ဆာဗာ အပလီကေးရှင်းများကို သီးခြားလုပ်ဆောင်ခြင်းအတွက် စနစ်တစ်ခုကို တီထွင်နေပါသည်။ Firejail ကိုအသုံးပြုခြင်းသည် ယုံကြည်စိတ်ချရသော သို့မဟုတ် အားနည်းနိုင်သည့်ပရိုဂရမ်များကို လုပ်ဆောင်နေချိန်တွင် ပင်မစနစ်ကို ထိခိုက်နိုင်ခြေကို လျှော့ချနိုင်စေပါသည်။ ပရိုဂရမ်ကို C ဘာသာစကားဖြင့် ရေးသားထားခြင်း၊ GPLv2 အောက်တွင် လိုင်စင်ရထားပြီး 3.0 အထက် kernel ရှိသည့် မည်သည့် Linux ဖြန့်ဖြူးမှုတွင်မဆို လုပ်ဆောင်နိုင်သည်။ Firejail နှင့်အတူ အဆင်သင့် ပက်ကေ့ဂျ်များ deb (Debian၊ Ubuntu) နှင့် rpm (CentOS, Fedora) ဖော်မတ်များတွင်။
Firejail တွင် သီးခြားခွဲထားရန် Linux ရှိ namespaces၊ AppArmor နှင့် system call filtering (seccomp-bpf)။ စတင်လိုက်သည်နှင့်၊ ပရိုဂရမ်နှင့် ၎င်း၏ ကလေးလုပ်ငန်းစဉ်များအားလုံးသည် network stack၊ process table နှင့် mount point များကဲ့သို့သော kernel အရင်းအမြစ်များ၏ သီးခြားအမြင်များကို အသုံးပြုပါသည်။ တစ်ခုနှင့်တစ်ခု မှီခိုနေရသော အပလီကေးရှင်းများကို ဘုံ sandbox တစ်ခုအဖြစ် ပေါင်းစပ်နိုင်သည်။ ဆန္ဒရှိပါက Firejail ကို Docker၊ LXC နှင့် OpenVZ ကွန်တိန်နာများကို အသုံးပြုနိုင်သည်။
ကွန်တိန်နာ insulation ကိရိယာများနှင့်မတူဘဲ firejail သည်အလွန်အမင်းဖြစ်သည်။ configuration တွင် system image တစ်ခု၏ပြင်ဆင်မှုမလိုအပ်ပါ - ကွန်တိန်နာဖွဲ့စည်းမှုကိုလက်ရှိဖိုင်စနစ်၏အကြောင်းအရာများအပေါ်အခြေခံ၍ ပျံသန်းမှုတွင်ဖွဲ့စည်းပြီးလျှောက်လွှာပြီးစီးပြီးနောက်ဖျက်ပစ်လိုက်သည်။ ဖိုင်စနစ်သို့ ဝင်ရောက်ခွင့်စည်းမျဉ်းများ သတ်မှတ်ခြင်း၏ ပြောင်းလွယ်ပြင်လွယ်နည်းလမ်းများကို ပံ့ပိုးပေးသည်၊ သင်သည် မည်သည့်ဖိုင်များနှင့် လမ်းညွှန်များကို ခွင့်ပြုထားသည် သို့မဟုတ် ဝင်ရောက်ခွင့်ကို ငြင်းပယ်နိုင်သည်၊ ဒေတာအတွက် ယာယီဖိုင်စနစ်များ (tmpfs) ချိတ်ဆက်ရန်၊ ဖိုင်များ သို့မဟုတ် လမ်းညွှန်များသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်နိုင်သည်၊ လမ်းညွှန်များမှတဆင့် ပေါင်းစည်းနိုင်သည်။ bind-mount နှင့် overlayf များ။
Firefox၊ Chromium၊ VLC နှင့် Transmission အပါအဝင် နာမည်ကြီး အပလီကေးရှင်း အများအပြားအတွက် အဆင်သင့်လုပ်ထားသည်။ စနစ်ခေါ်ဆိုမှုအထီးကျန်။ သီးခြားမုဒ်တွင် ပရိုဂရမ်တစ်ခုကို လုပ်ဆောင်ရန်၊ firejail utility အတွက် အငြင်းအခုံအဖြစ် အပလီကေးရှင်းအမည်ကို ရိုးရှင်းစွာ သတ်မှတ်ပါ ဥပမာ၊ "firejail firefox" သို့မဟုတ် "sudo firejail /etc/init.d/nginx start" ။
ထုတ်ဝေမှုအသစ်တွင်-
- စနစ်ခေါ်ဆိုမှုကန့်သတ်ချက်ယန္တရားကို ကျော်လွှားရန် အန္တရာယ်ရှိသော လုပ်ငန်းစဉ်ကို ခွင့်ပြုသည့် အားနည်းချက်တစ်ခုကို ပြင်ဆင်ပြီးဖြစ်သည်။ အားနည်းချက်၏ အနှစ်သာရမှာ Seccomp စစ်ထုတ်မှုများကို သီးခြားပတ်ဝန်းကျင်အတွင်း ရေးသားနိုင်သည့် /run/firejail/mnt လမ်းညွှန်သို့ ကူးယူထားခြင်း ဖြစ်သည်။ သီးခြားမုဒ်တွင် လည်ပတ်နေသော အန္တရာယ်ရှိသော လုပ်ငန်းစဉ်များသည် ဤဖိုင်များကို မွမ်းမံနိုင်သည်၊ ၎င်းသည် စနစ်ခေါ်ဆိုမှု filter ကို အသုံးမပြုဘဲ တူညီသောပတ်ဝန်းကျင်တွင် လုပ်ဆောင်နေသော လုပ်ငန်းစဉ်အသစ်များကို လုပ်ဆောင်စေမည်ဖြစ်သည်။
- memory-deny-write-execute filter သည် "memfd_create" ခေါ်ဆိုမှုကို ပိတ်ဆို့ထားကြောင်း သေချာစေပါသည်။
- ထောင်အတွက် အလုပ်လမ်းညွှန်ကို ပြောင်းလဲရန် ရွေးချယ်မှုအသစ် "private-cwd" ကို ထပ်ထည့်ထားသည်။
- D-Bus ခြေစွပ်များကို ပိတ်ဆို့ရန် "--nodbus" ရွေးစရာကို ထည့်သွင်းထားသည်။
- CentOS 6 အတွက် ပံ့ပိုးမှု ပြန်ပေးခဲ့သည်။
- ဖော်မက်များတွင် ပက်ကေ့ဂျ်များအတွက် ပံ့ပိုးမှု и .
ဤပက်ကေ့ဂျ်များသည် ၎င်းတို့၏ကိုယ်ပိုင်ကိရိယာများကို အသုံးပြုသင့်သည်။ - mypaint၊ nano၊ xfce87-mixer၊ gnome-keyring၊ redshift၊ font-manager၊ gconf-editor၊ gsettings၊ freeciv၊ lincity-ng၊ openttd၊ torcs၊ tremulous၊ warsow၊ freemind၊ kid4၊ freecol၊ opencity၊ utox၊ freeoffice-planmaker၊ freeoffice-presentations၊ freeoffice-textmaker၊ inkview၊ meteo-qt၊ ktouch၊ yelp နှင့် cantata။
source: opennet.ru