ProHoster > BLOG > știri pe internet > Lansarea sistemului de izolare a aplicației Firejail 0.9.62

Lansarea sistemului de izolare a aplicației Firejail 0.9.62

După șase luni de dezvoltare disponibil lansarea proiectului Firejail 0.9.62, în cadrul căruia se dezvoltă un sistem pentru execuția izolată a aplicațiilor grafice, console și server. Utilizarea Firejail vă permite să minimizați riscul de a compromite sistemul principal atunci când rulați programe nedemne de încredere sau potențial vulnerabile. Programul este scris în limbaj C, distribuit de licențiat sub GPLv2 și poate rula pe orice distribuție Linux cu un nucleu mai vechi de 3.0. Pachete gata făcute cu Firejail pregătit în formatele deb (Debian, Ubuntu) și rpm (CentOS, Fedora).

Pentru izolare în Firejail sunt utilizate spații de nume, AppArmor și filtrarea apelurilor de sistem (seccomp-bpf) în Linux. Odată lansate, programul și toate procesele sale secundare folosesc vederi separate ale resurselor kernelului, cum ar fi stiva de rețea, tabelul de procese și punctele de montare. Aplicațiile care depind unele de altele pot fi combinate într-un singur sandbox comun. Dacă se dorește, Firejail poate fi folosit și pentru a rula containere Docker, LXC și OpenVZ.

Spre deosebire de instrumentele de izolare a containerelor, firejail este extrem de ușor în configurație și nu necesită pregătirea unei imagini de sistem - compoziția containerului se formează din mers pe baza conținutului sistemului de fișiere curent și este ștearsă după finalizarea aplicației. Sunt furnizate mijloace flexibile de stabilire a regulilor de acces la sistemul de fișiere; puteți determina ce fișiere și directoare au acces sau li se permite accesul, puteți conecta sisteme de fișiere temporare (tmpfs) pentru date, puteți limita accesul la fișiere sau directoare la doar citire, puteți combina directoare prin bind-mount și suprapuneri.

Pentru un număr mare de aplicații populare, inclusiv Firefox, Chromium, VLC și Transmission, gata făcute профили izolarea apelurilor de sistem. Pentru a obține privilegiile necesare pentru a configura un mediu sandbox, executabilul firejail este instalat cu steag-ul rădăcină SUID (privilegiile sunt resetate după inițializare). Pentru a rula un program în modul de izolare, pur și simplu specificați numele aplicației ca argument pentru utilitarul firejail, de exemplu, „firejail firefox” sau „sudo firejail /etc/init.d/nginx start”.

În noua versiune:

  • În fișierul de configurare /etc/firejail/firejail.config adăugat setare file-copy-limit, care vă permite să limitați dimensiunea fișierelor care vor fi copiate în memorie atunci când utilizați opțiunile „--private-*” (în mod implicit, limita este setată la 500 MB).
  • În directorul /usr/share/doc/firejail au fost adăugate șabloane pentru crearea de noi profiluri de restricție a aplicațiilor.
  • Profilurile permit utilizarea depanatoarelor.
  • Filtrarea îmbunătățită a apelurilor de sistem folosind mecanismul seccomp.
  • Este oferită detectarea automată a steagurilor compilatorului.
  • Apelul chroot nu se mai face pe baza căii, ci folosind puncte de montare bazate pe descriptorul de fișier.
  • Directorul /usr/share este inclus pe lista albă de diferite profiluri.
  • Au fost adăugate noi scripturi de ajutor gdb-firejail.sh și sort.py la secțiunea conrib.
  • Protecție consolidată în etapa de execuție a codului privilegiat (SUID).
  • Pentru profiluri, au fost implementate noi atribute condiționate HAS_X11 și HAS_NET pentru a verifica prezența unui server X și accesul la rețea.
  • Profiluri adăugate pentru lansarea aplicației izolate (numărul total de profiluri a crescut la 884):
    • i2p,
    • tor-browser (AUR),
    • Zulip,
    • rsync
    • semnal-cli
    • tcpdump
    • rechin,
    • qgis
    • OpenArena,
    • godot,
    • formula klatex,
    • klatexformula_cmdl,
    • link-uri,
    • xlinkuri,
    • pandoc
    • echipe-pentru-linux,
    • înregistrator de sunet gnome,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • rhythmbox-client,
    • Jerry
    • zel,
    • mpg123,
    • conplay,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • out123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-openal,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-pulse,
    • mpg123-strip,
    • pavucontrol-qt,
    • personaje-gnomi,
    • hartă-caracter-gnom,
    • pasăre balenă
    • tb-starter-wrapper,
    • bzcat,
    • kiwix-desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar
    • gnome-latex,
    • pngquant
    • calgebră
    • kalgebramobil,
    • amulat
    • găsește,
    • blasfemie,
    • inregistrare audio,
    • cameramonitor
    • ddgtk
    • drawio,
    • unf,
    • gmpc,
    • poștă electronică,
    • esenta,
    • esenta-pasta.

Sursa: opennet.ru

Adauga un comentariu