Release van Firejail Application Isolation System 0.9.72

Firejail 0.9.72 is uitgebracht. Het ontwikkelt een systeem voor geΓ―soleerde uitvoering van grafische, console- en serverapplicaties, waardoor het risico op compromittering van het hostsysteem bij het uitvoeren van onbetrouwbare of potentieel kwetsbare programma's wordt geminimaliseerd. Het programma is geschreven in C, wordt gedistribueerd onder de GPLv2-licentie en werkt op elke distributie. Linux met een kernel ouder dan 3.0. Kant-en-klare pakketten met Firejail worden aangeboden in deb-formaat (Debian, Ubuntu) en toerental (CentOS(Fedora).

Firejail maakt gebruik van namespaces, AppArmor en systeemoproepfiltering (seccomp-bpf) voor isolatie. LinuxEenmaal gestart, gebruiken een programma en al zijn subprocessen afzonderlijke representaties van kernelbronnen, zoals de netwerkstack, de procestabel en de mountpoints. Onderling afhankelijke applicaties kunnen worden gecombineerd in één gedeelde sandbox. Firejail kan ook worden gebruikt om Docker-, LXC- en OpenVZ-containers uit te voeren.

In tegenstelling tot containerisolatietools is FireJail zeer eenvoudig te configureren en hoeft er geen systeemimage te worden voorbereid. De containercompositie wordt direct samengesteld op basis van de inhoud van het huidige bestandssysteem en wordt verwijderd nadat de applicatie is voltooid. Er zijn flexibele tools beschikbaar voor het instellen van toegangsregels voor bestandssystemen. U kunt bepalen welke bestanden en mappen wel of geen toegang krijgen, tijdelijke bestandssystemen (tmpfs) koppelen voor gegevens, de toegang tot bestanden of mappen beperken tot alleen-lezen en mappen combineren via bind-mount en overlayfs.

Er zijn kant-en-klare isolatieprofielen voor systeemaanroepen beschikbaar voor een groot aantal populaire applicaties, waaronder Firefox, Chromium, VLC en Transmission. Om de benodigde rechten te verkrijgen voor het opzetten van een geΓ―soleerde omgeving, wordt het uitvoerbare bestand van firejail geΓ―nstalleerd met de SUID root-vlag (rechten worden na initialisatie gereset). Om een ​​programma in isolatiemodus te draaien, volstaat het om de applicatienaam als argument op te geven voor het firejail-hulpprogramma, bijvoorbeeld "firejail firefox" of "sudo firejail /etc/init.d/nginx start".

In de nieuwe uitgave:

  • Filter voor systeemoproepen in seccomp toegevoegd dat het aanmaken van naamruimten blokkeert (optie "--restrict-namespaces" toegevoegd om in te schakelen). Tabellen en groepen voor systeemoproepen in seccomp bijgewerkt.
  • Verbeterde force-nonewprivs (NO_NEW_PRIVS)-modus om te voorkomen dat nieuwe processen extra privileges krijgen.
  • De mogelijkheid toegevoegd om uw eigen AppArmor-profielen te gebruiken (de optie β€œβ€”apparmor” wordt aangeboden voor verbinding).
  • Het netwerkverkeerscontrolesysteem nettrace, dat IP-informatie en de hoeveelheid verkeer van elk adres weergeeft, implementeert ICMP-ondersteuning en biedt de opties "--dnstrace", "--icmptrace" en "--snitrace".
  • De opdrachten --cgroup en --shell zijn verwijderd (standaard is --shell=none). Het bouwen van FireTunnel is standaard gestopt. De chroot-, private-lib- en traceloginstellingen in /etc/firejail/firejail.config zijn uitgeschakeld. Ondersteuning voor grsecurity is verwijderd.

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers πŸ”₯ Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster