د Firejail 0.9.72 پروژې خوشې کول خپاره شوي، کوم چې د ګرافیکي، کنسول او سرور غوښتنلیکونو جلا جلا اجرا کولو لپاره یو سیسټم رامینځته کوي، د اصلي سیسټم سره د موافقت خطر کموي کله چې د باور وړ یا احتمالي زیان منونکي پروګرامونه چلوي. برنامه په C کې لیکل شوې ، د GPLv2 جواز لاندې توزیع شوې او کولی شي په هر لینکس توزیع کې د 3.0 څخه زاړه کرنل سره پرمخ وړي. چمتو شوي د Firejail کڅوړې په deb (Debian، Ubuntu) او rpm (CentOS، Fedora) فارمیټونو کې چمتو شوي.
د انزوا لپاره، Firejail په لینکس کې د نوم ځایونه، AppArmor، او د سیسټم کال فلټرینګ (seccomp-bpf) کاروي. یوځل چې پیل شو ، برنامه او د هغې ټولې ماشوم پروسې د کرنل سرچینو جلا لیدونه کاروي ، لکه د شبکې سټیک ، د پروسې میز ، او د ماونټ پوائنټونه. هغه غوښتنلیکونه چې په یو بل پورې تړلي دي په یو عام سینڈ باکس کې یوځای کیدی شي. که وغواړي، فائرجیل د ډاکر، LXC او OpenVZ کانتینرونو چلولو لپاره هم کارول کیدی شي.
د کانټینر جلا کولو وسیلو برخلاف ، د فایرجیل تنظیم کول خورا ساده دي او د سیسټم عکس چمتو کولو ته اړتیا نلري - د کانټینر ترکیب د اوسني فایل سیسټم مینځپانګې پراساس په مچ کې رامینځته کیږي او د غوښتنلیک بشپړیدو وروسته حذف کیږي. د فایل سیسټم ته د لاسرسي مقرراتو تنظیم کولو انعطاف وړ وسیلې چمتو شوي؛ تاسو کولی شئ مشخص کړئ چې کوم فایلونه او لارښودونه اجازه لري یا لاسرسی رد کړي ، د ډیټا لپاره لنډمهاله فایل سیسټم (tmpfs) وصل کړئ ، فایلونو یا لارښودونو ته لاسرسی محدود کړئ یوازې لوستلو لپاره ، لارښودونه یوځای کړئ bind-mount او overlayfs.
د فایرفوکس، کرومیم، VLC او لیږد په شمول د ډیری مشهور غوښتنلیکونو لپاره، د سیسټم کال جلا کولو پروفایلونه چمتو شوي. د شګو بکس شوي چاپیریال رامینځته کولو لپاره اړین امتیازات ترلاسه کولو لپاره ، د اورجیل اجرا وړ د SUID روټ بیرغ سره نصب شوی (استحقاقونه د پیل کولو وروسته بیا تنظیم شوي). په انزوا حالت کې د برنامه چلولو لپاره ، په ساده ډول د غوښتنلیک نوم د فائرجیل یوټیلیټ ته د دلیل په توګه مشخص کړئ ، د مثال په توګه ، "فیرجیل فایرفاکس" یا "سوډو فایرجیل /etc/init.d/nginx start".
په نوې خپرونه کې:
- د سیسټم زنګونو لپاره د seccomp فلټر اضافه شوی چې د نوم ځایونو رامینځته کول بندوي (د "--restrict-namespaces" اختیار د فعالولو لپاره اضافه شوی). د سیسټم کال میزونه او سیکمپ ګروپونه تازه شوي.
- د ځواک پرته د شخصي شخصي حالت ښه شوی (NO_NEW_PRIVS)، کوم چې د اضافي امتیازاتو ترلاسه کولو څخه د نویو پروسو مخه نیسي.
- ستاسو د خپل اپارمر پروفایلونو کارولو وړتیا اضافه کړه (د "--apparmor" اختیار د اتصال لپاره وړاندیز شوی).
- د نیټریس شبکې ترافیک تعقیب سیسټم ، کوم چې د هر پتې څخه د IP او ترافیک شدت په اړه معلومات ښیې ، د ICMP ملاتړ پلي کوي او "--dnstrace" ، "--icmptrace" او "--snitrace" اختیارونه وړاندیز کوي.
- --cgroup او --shell کمانډونه لیرې شوي دي (ډیفالټ --shell=none دی). د فایرټونل جوړول په ډیفالټ بند شوي. په /etc/firejail/firejail.config کې chroot، private-lib او tracelog ترتیبات غیر فعال شوي. grsecurity مالتړ بند شوی دی.
سرچینه: opennet.ru