prosjektutgivelse , der det utvikles et system for isolert kjøring av grafiske, konsoll- og serverapplikasjoner. Ved å bruke Firejail kan du minimere risikoen for å kompromittere hovedsystemet når du kjører upålitelige eller potensielt sårbare programmer. Programmet er skrevet på C-språk, lisensiert under GPLv2 og kan kjøre på hvilken som helst Linux-distribusjon med en kjerne eldre enn 3.0. Klare pakker med Firejail i deb (Debian, Ubuntu) og rpm (CentOS, Fedora) formater.
For isolasjon i Firejail navnerom, AppArmor og systemanropsfiltrering (seccomp-bpf) i Linux. Når det er lansert, bruker programmet og alle dets underordnede prosesser separate visninger av kjerneressurser, for eksempel nettverksstakken, prosesstabellen og monteringspunkter. Applikasjoner som er avhengige av hverandre kan kombineres til én felles sandkasse. Om ønskelig kan Firejail også brukes til å kjøre Docker, LXC og OpenVZ containere.
I motsetning til containerisolasjonsverktøy, er firejail ekstremt i konfigurasjonen og krever ikke utarbeidelse av et systembilde - beholdersammensetningen dannes på flukt basert på innholdet i det gjeldende filsystemet og slettes etter at applikasjonen er fullført. Fleksible midler for å angi tilgangsregler til filsystemet er gitt; du kan bestemme hvilke filer og kataloger som tillates eller nektes tilgang, koble til midlertidige filsystemer (tmpfs) for data, begrense tilgang til filer eller kataloger til skrivebeskyttet, kombinere kataloger gjennom bind-mount og overlays.
For et stort antall populære applikasjoner, inkludert Firefox, Chromium, VLC og Transmission, ferdige systemanropsisolering. For å kjøre et program i isolasjonsmodus, spesifiser applikasjonsnavnet som et argument til firejail-verktøyet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nye utgivelsen:
- En sårbarhet som gjør at en ondsinnet prosess kan omgå systemanropsbegrensningsmekanismen er fikset. Essensen av sårbarheten er at Seccomp-filtre kopieres til /run/firejail/mnt-katalogen, som er skrivbar i det isolerte miljøet. Ondsinnede prosesser som kjører i isolasjonsmodus kan endre disse filene, noe som vil føre til at nye prosesser som kjører i samme miljø, kjøres uten å bruke systemanropsfilteret;
- Memory-deny-write-execute-filteret sikrer at "memfd_create"-kallet er blokkert;
- Lagt til nytt alternativ "private-cwd" for å endre arbeidskatalogen for fengsel;
- Lagt til "--nodbus"-alternativet for å blokkere D-Bus-kontakter;
- Returnerte støtte for CentOS 6;
- støtte for pakker i formater и .
at disse pakkene skal bruke sitt eget verktøy; - Nye profiler er lagt til for å isolere 87 tilleggsprogrammer, inkludert mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp og kantate.
Kilde: opennet.ru