परियोजना रिलीज , जस भित्र ग्राफिकल, कन्सोल र सर्भर अनुप्रयोगहरूको पृथक कार्यान्वयनको लागि प्रणाली विकसित भइरहेको छ। फायरजेलको प्रयोगले तपाईंलाई अविश्वसनीय वा सम्भावित रूपमा कमजोर कार्यक्रमहरू चलाउँदा मुख्य प्रणालीमा सम्झौता गर्ने जोखिमलाई कम गर्न अनुमति दिन्छ। कार्यक्रम सी भाषामा लेखिएको छ, GPLv2 अन्तर्गत इजाजतपत्र प्राप्त र 3.0 भन्दा पुरानो कर्नेलको साथ कुनै पनि लिनक्स वितरणमा चल्न सक्छ। फायरजेलको साथ तयार प्याकेजहरू deb (Debian, Ubuntu) र rpm (CentOS, Fedora) ढाँचाहरूमा।
फायरजेलमा आइसोलेसनका लागि пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
कन्टेनर इन्सुलेशन उपकरणहरूको विपरीत, फायरजेल अत्यन्तै छ в конфигурации и не требует подготовки системного образа — состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
फायरफक्स, क्रोमियम, VLC र ट्रान्समिशन सहित लोकप्रिय अनुप्रयोगहरूको ठूलो संख्याको लागि, तयार изоляции системных вызовов. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».
नयाँ रिलीज मा:
- Устранена уязвимость, позволяющая вредоносному процессу обойти механизм ограничения системных вызовов. Суть уязвимость в том, что фильтры Seccomp копируются в каталог /run/firejail/mnt, доступный на запись внутри изолированного окружения. Запускаемые в режиме изоляции вредоносные процессы могут изменить эти файлы, что приведёт к тому, что новые процессы, запущенные в этом же окружении, будут выполнены без применения фильтра системных вызовов;
- В фильтре memory-deny-write-execute обеспечена блокировка вызова «memfd_create»;
- Добавлена новая опция «private-cwd» для изменения рабочего каталога для jail;
- Добавлена опция «—nodbus» для блокировки сокетов D-Bus;
- Возвращена поддержка CentOS 6;
- поддержка пакетов в форматах и .
, что для данных пакетов следует использовать их собственный инструментарий; - Добавлены новые профили для изоляции 87 дополнительных программ, в числе которых mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp и cantata.
स्रोत: opennet.ru