De release van het Firejail 0.9.72-project is gepubliceerd, dat een systeem ontwikkelt voor de geïsoleerde uitvoering van grafische, console- en serverapplicaties, waardoor het risico op het in gevaar brengen van het hoofdsysteem wordt geminimaliseerd bij het uitvoeren van onbetrouwbare of potentieel kwetsbare programma's. Het programma is geschreven in C, gedistribueerd onder de GPLv2-licentie en kan draaien op elke Linux-distributie met een kernel ouder dan 3.0. Kant-en-klare Firejail-pakketten worden voorbereid in deb- (Debian, Ubuntu) en rpm- (CentOS, Fedora) formaten.
Voor isolatie gebruikt Firejail naamruimten, AppArmor en systeemaanroepfiltering (seccomp-bpf) op Linux. Eenmaal gelanceerd, gebruiken het programma en al zijn onderliggende processen afzonderlijke weergaven van kernelbronnen, zoals de netwerkstack, procestabel en koppelpunten. Applicaties die van elkaar afhankelijk zijn, kunnen worden gecombineerd in één gemeenschappelijke sandbox. Indien gewenst kan Firejail ook worden gebruikt om Docker-, LXC- en OpenVZ-containers te draaien.
In tegenstelling tot tools voor containerisolatie is firejail uiterst eenvoudig te configureren en vereist het geen voorbereiding van een systeemimage; de containersamenstelling wordt on-the-fly gevormd op basis van de inhoud van het huidige bestandssysteem en wordt verwijderd nadat de applicatie is voltooid. Er zijn flexibele manieren om toegangsregels voor het bestandssysteem in te stellen; u kunt bepalen welke bestanden en mappen wel of niet toegang krijgen, tijdelijke bestandssystemen (tmpfs) voor gegevens aansluiten, de toegang tot bestanden of mappen beperken tot alleen-lezen, mappen combineren via bind-mount en overlayfs.
Voor een groot aantal populaire toepassingen, waaronder Firefox, Chromium, VLC en Transmission, zijn kant-en-klare systeemoproepisolatieprofielen opgesteld. Om de bevoegdheden te verkrijgen die nodig zijn om een sandbox-omgeving op te zetten, wordt het uitvoerbare bestand Firejail geïnstalleerd met de SUID-hoofdvlag (rechten worden gereset na initialisatie). Om een programma in isolatiemodus uit te voeren, geeft u eenvoudigweg de applicatienaam op als argument voor het firejail-hulpprogramma, bijvoorbeeld "firejail firefox" of "sudo firejail /etc/init.d/nginx start".
In de nieuwe uitgave:
- Er is een seccomp-filter toegevoegd voor systeemaanroepen dat het maken van naamruimten blokkeert (de optie “--restrict-namespaces” is toegevoegd om in te schakelen). Bijgewerkte systeemoproeptabellen en seccomp-groepen.
- Verbeterde force-nonewprivs-modus (NO_NEW_PRIVS), die voorkomt dat nieuwe processen extra rechten krijgen.
- De mogelijkheid toegevoegd om uw eigen AppArmor-profielen te gebruiken (de optie "--apparmor" wordt aangeboden voor verbinding).
- Het nettrace-volgsysteem voor netwerkverkeer, dat informatie weergeeft over IP en verkeersintensiteit van elk adres, implementeert ICMP-ondersteuning en biedt de opties "--dnstrace", "--icmptrace" en "--snitrace".
- De commando's --cgroup en --shell zijn verwijderd (de standaard is --shell=none). Het bouwen van Firetunnel wordt standaard gestopt. Uitgeschakelde chroot-, private-lib- en tracelog-instellingen in /etc/firejail/firejail.config. De grsecurity-ondersteuning is stopgezet.
Bron: opennet.ru