پروجيڪٽ ڇڏڻ ، جنهن جي اندر گرافڪ، ڪنسول ۽ سرور ايپليڪيشنن جي الڳ الڳ عمل لاءِ هڪ سسٽم ٺاهيا پيا وڃن. فائر جيل استعمال ڪرڻ توهان کي اجازت ڏئي ٿو ته مکيه سسٽم سان سمجھوتو ڪرڻ جي خطري کي گھٽائڻ جي جڏهن ناقابل اعتبار يا ممڪن طور تي خطرناڪ پروگرامن کي هلائي. پروگرام سي ٻولي ۾ لکيل آهي، GPLv2 جي تحت لائسنس يافته آهي ۽ ڪنهن به لينڪس ڊويزن تي هلائي سگھي ٿو 3.0 کان پراڻي ڪرنل سان. تيار ٿيل پيڪيجز فائر جيل سان deb (Debian، Ubuntu) ۽ rpm (CentOS، Fedora) فارميٽ ۾.
فائر جيل ۾ اڪيلائي لاءِ نالا اسپيس، ايپ آرمر، ۽ سسٽم ڪال فلٽرنگ (seccomp-bpf) لينڪس ۾. هڪ دفعو شروع ڪيو ويو، پروگرام ۽ ان جا سڀئي ٻار عمل ڪنيل وسيلن جي الڳ الڳ نظريا استعمال ڪندا آهن، جهڙوڪ نيٽورڪ اسٽيڪ، پروسيس ٽيبل، ۽ ماؤنٽ پوائنٽس. ايپليڪيشنون جيڪي هڪ ٻئي تي ڀاڙين ٿيون انهن کي هڪ عام سينڊ باڪس ۾ گڏ ڪري سگهجي ٿو. جيڪڏهن گهربل هجي، فائر جيل پڻ استعمال ڪري سگهجي ٿو Docker، LXC ۽ OpenVZ ڪنٽينرز کي هلائڻ لاء.
ڪنٽينر جي موصليت واري اوزار جي برعڪس، فائر جيل انتهائي آهي ترتيب ۾ ۽ سسٽم جي تصوير جي تياري جي ضرورت ناهي - ڪنٽينر جو ٺهيل موجوده فائل سسٽم جي مواد جي بنياد تي اڏامي ويو آهي ۽ ايپليڪيشن مڪمل ٿيڻ کان پوء ختم ڪيو ويندو آهي. فائل سسٽم تائين رسائي جي ضابطن کي ترتيب ڏيڻ جا لچڪدار وسيلا مهيا ڪيا ويا آهن؛ توهان اهو طئي ڪري سگهو ٿا ته ڪهڙن فائلن ۽ ڊائريڪٽرن کي اجازت ڏني وئي آهي يا رسائي کي رد ڪيو وڃي ٿو، ڊيٽا لاءِ عارضي فائل سسٽم (tmpfs) ڳنڍيو، فائلن تائين رسائي کي محدود ڪريو يا ڊائريڪٽري صرف پڙهڻ لاءِ، ڊائريڪٽري کي گڏ ڪريو. bind-Mount ۽ overlayfs.
مشهور ايپليڪيشنن جي وڏي تعداد لاءِ، بشمول فائر فاڪس، ڪروميم، وي ايل سي ۽ ٽرانسميشن، تيار ٿيل سسٽم ڪال آئسوليشن. پروگرام کي آئسوليشن موڊ ۾ هلائڻ لاءِ، صرف ايپليڪيشن جو نالو بيان ڪريو فائر جيل يوٽيلٽي لاءِ دليل طور، مثال طور، ”فائرجيل فائر فاڪس“ يا ”sudo firejail /etc/init.d/nginx start“.
نئين رليز ۾:
- هڪ خرابي جيڪا خرابي واري عمل کي اجازت ڏئي ٿي ته سسٽم ڪال پابندي واري ميڪانيزم کي بائي پاس ڪرڻ لاءِ مقرر ڪيو ويو آهي. خساري جو خلاصو اهو آهي ته Seccomp فلٽر /run/firejail/mnt ڊاريڪٽري ۾ نقل ٿيل آهن، جيڪو الڳ ٿيل ماحول ۾ لکڻ جي قابل آهي. اڪيلائي واري موڊ ۾ هلندڙ خراب عمل انهن فائلن کي تبديل ڪري سگھن ٿا، جيڪي سسٽم ڪال فلٽر کي لاڳو ڪرڻ کان سواءِ ساڳي ماحول ۾ هلندڙ نون عملن کي عمل ۾ آڻيندا؛
- ميموري-منڪر-لکڻ-عمل ڪرڻ وارو فلٽر يقيني بڻائي ٿو ته "memfd_create" ڪال بلاڪ ٿيل آهي؛
- جيل لاءِ ڪم ڪندڙ ڊاريڪٽري کي تبديل ڪرڻ لاءِ نئون آپشن ”نجي-cwd“ شامل ڪيو ويو؛
- شامل ڪيو ويو "--nodbus" اختيار D-Bus ساکٽس کي بلاڪ ڪرڻ لاء؛
- واپسي جي حمايت CentOS 6 لاءِ؛
- فارميٽ ۾ پيڪيجز لاء حمايت и .
ته انهن پيڪيجز کي پنهنجو اوزار استعمال ڪرڻ گهرجي؛ - 87 اضافي پروگرامن کي الڳ ڪرڻ لاءِ نوان پروفائيل شامل ڪيا ويا آهن، جن ۾ mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ۽ cantata.
جو ذريعو: opennet.ru