Utgivelsen av Firejail 0.9.72-prosjektet har blitt publisert, som utvikler et system for isolert kjøring av grafiske, konsoll- og serverapplikasjoner, som tillater å minimere risikoen for å kompromittere hovedsystemet når du kjører upålitelige eller potensielt sårbare programmer. Programmet er skrevet i C, distribuert under GPLv2-lisensen og kan kjøres på enhver Linux-distribusjon med en kjerne eldre enn 3.0. Ferdige Firejail-pakker er forberedt i deb (Debian, Ubuntu) og rpm (CentOS, Fedora) formater.
For isolasjon bruker Firejail navneområder, AppArmor og systemanropsfiltrering (seccomp-bpf) på Linux. Når det er lansert, bruker programmet og alle dets underordnede prosesser separate visninger av kjerneressurser, for eksempel nettverksstabelen, prosesstabellen og monteringspunkter. Applikasjoner som er avhengige av hverandre kan kombineres til én felles sandkasse. Om ønskelig kan Firejail også brukes til å kjøre Docker, LXC og OpenVZ containere.
I motsetning til beholderisoleringsverktøy, er firejail ekstremt enkelt å konfigurere og krever ikke utarbeidelse av et systembilde - beholdersammensetningen dannes på flukt basert på innholdet i det gjeldende filsystemet og slettes etter at applikasjonen er fullført. Fleksible midler for å angi tilgangsregler til filsystemet er gitt; du kan bestemme hvilke filer og kataloger som tillates eller nektes tilgang, koble til midlertidige filsystemer (tmpfs) for data, begrense tilgang til filer eller kataloger til skrivebeskyttet, kombinere kataloger gjennom bind-mount og overlays.
For et stort antall populære applikasjoner, inkludert Firefox, Chromium, VLC og Transmission, er det utarbeidet ferdige systemanropsisolasjonsprofiler. For å få privilegiene som er nødvendige for å sette opp et sandkassemiljø, installeres den kjørbare firejail-filen med SUID-rotflagget (privilegiene tilbakestilles etter initialisering). For å kjøre et program i isolasjonsmodus, spesifiser applikasjonsnavnet som et argument til firejail-verktøyet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nye utgivelsen:
- Lagt til et seccomp-filter for systemanrop som blokkerer opprettelsen av navnerom (alternativet "--begrens-navneområder" er lagt til for å aktivere). Oppdaterte systemanropstabeller og seccomp-grupper.
- Forbedret force-nonewprivs-modus (NO_NEW_PRIVS), som forhindrer nye prosesser i å få ytterligere privilegier.
- Lagt til muligheten til å bruke dine egne AppArmor-profiler (alternativet "--apparmor" tilbys for tilkobling).
- Nettrace nettverkstrafikksporingssystem, som viser informasjon om IP og trafikkintensitet fra hver adresse, implementerer ICMP-støtte og tilbyr alternativene "--dnstrace", "--icmptrace" og "--snitrace".
- Kommandoene --cgroup og --shell er fjernet (standard er --shell=ingen). Firetunnel-bygging stoppes som standard. Deaktiverte innstillinger for chroot, private-lib og tracelog i /etc/firejail/firejail.config. Grensesikkerhetsstøtte er avviklet.
Kilde: opennet.ru