Etter seks måneder med utvikling prosjektutgivelse , der det utvikles et system for isolert kjøring av grafiske, konsoll- og serverapplikasjoner. Ved å bruke Firejail kan du minimere risikoen for å kompromittere hovedsystemet når du kjører upålitelige eller potensielt sårbare programmer. Programmet er skrevet på C-språk, lisensiert under GPLv2 og kan kjøres på enhver distribusjon Linux med en kjerne eldre enn 3.0. Ferdige pakker med Firejail i deb-formater (Debian, Ubuntu) og o/min (CentOS, Fedora).
For isolasjon i Firejail navnerom, AppArmor og systemkallfiltrering (seccomp-bpf) i LinuxNår et program og alle dets underordnede prosesser er startet, bruker de separate representasjoner av kjerneressurser, for eksempel nettverksstakken, prosesstabellen og monteringspunkter. Gjensidig avhengige applikasjoner kan kombineres i en enkelt delt sandkasse. Firejail kan også brukes til å kjøre Docker-, LXC- og OpenVZ-containere.
I motsetning til containerisolasjonsverktøy, er firejail ekstremt i konfigurasjonen og krever ikke utarbeidelse av et systembilde - beholdersammensetningen dannes på flukt basert på innholdet i det gjeldende filsystemet og slettes etter at applikasjonen er fullført. Fleksible måter å angi tilgangsregler til filsystemet på. Du kan bestemme hvilke filer og kataloger som er tillatt eller nektet tilgang, koble til midlertidige filsystemer (tmpfs) for data, begrense tilgang til filer eller kataloger til skrivebeskyttet, kombinere kataloger gjennom; bind-mount og overlays.
For et stort antall populære applikasjoner, inkludert Firefox, Chromium, VLC og Transmission, ferdige systemanropsisolering. For å få privilegiene som er nødvendige for å sette opp et sandkassemiljø, installeres den kjørbare firejail-filen med SUID-rotflagget (privilegiene tilbakestilles etter initialisering). For å kjøre et program i isolasjonsmodus, spesifiser applikasjonsnavnet som et argument til firejail-verktøyet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nye utgivelsen:
- I konfigurasjonsfilen /etc/firejail/firejail.config file-copy-limit-innstilling, som lar deg begrense størrelsen på filer som skal kopieres til minnet når du bruker "--private-*"-alternativene (som standard er grensen satt til 500 MB).
- Maler for å lage nye applikasjonsbegrensningsprofiler er lagt til i /usr/share/doc/firejail-katalogen.
- Profiler tillater bruk av debuggere.
- Forbedret filtrering av systemanrop ved hjelp av seccomp-mekanismen.
- Automatisk gjenkjenning av kompilatorflagg er gitt.
- Chroot-kallet gjøres ikke lenger basert på banen, men bruker monteringspunkter basert på filbeskrivelsen.
- /usr/share-katalogen er hvitelistet av forskjellige profiler.
- Nye hjelpeskript gdb-firejail.sh og sort.py er lagt til conrib-delen.
- Styrket beskyttelse på utførelsesstadiet av privilegert kode (SUID).
- For profiler er nye betingede attributter HAS_X11 og HAS_NET implementert for å kontrollere tilstedeværelsen av en X-server og nettverkstilgang.
- Lagt til profiler for isolert applikasjonsstart (det totale antallet profiler økte til 884):
- i2p,
- tor-nettleser (AUR),
- Zulip,
- rsync
- signal-cli
- tcpdump
- tshark,
- qgis
- OpenArena,
- godot,
- klatexformel,
- klatexformula_cmdl,
- koblinger,
- xlinks,
- pandoc
- teams-for-linux,
- gnome-lydopptaker,
- newsbeuter,
- keepassxc-cli,
- keepassxc-proxy,
- rhythmbox-klient,
- jerry
- iver,
- mpg123,
- samspill,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- ut123,
- mpg123-jack,
- mpg123-nas,
- mpg123-openal,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-puls,
- mpg123-strip,
- pavucontrol-qt,
- gnome-karakterer,
- gnome-karakter-kart,
- Hvalfugl
- tb-starter-innpakning,
- bzcat,
- kiwix-desktop,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar
- gnome-latex,
- pngquant
- calgebra
- kalgebramobile,
- amulert
- kfind,
- banning
- lydopptaker,
- kameramonitor
- ddgtk
- drawio,
- unf,
- gmpc,
- elektronisk post,
- GIST
- gist-lim.
Kilde: opennet.ru
