vydanie projektu , v rámci ktorej sa vyvíja systém pre izolované spúšťanie grafických, konzolových a serverových aplikácií. Používanie Firejail vám umožňuje minimalizovať riziko ohrozenia hlavného systému pri spúšťaní nedôveryhodných alebo potenciálne zraniteľných programov. Program je napísaný v jazyku C, je licencovaný pod GPLv2 a môže bežať na akejkoľvek distribúcii Linuxu s jadrom starším ako 3.0. Hotové balíčky s Firejailom vo formátoch deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pre izoláciu v Firejail menné priestory, AppArmor a filtrovanie systémových hovorov (seccomp-bpf) v Linuxe. Po spustení program a všetky jeho podriadené procesy používajú samostatné zobrazenia zdrojov jadra, ako je sieťový zásobník, tabuľka procesov a body pripojenia. Aplikácie, ktoré sú na sebe závislé, je možné kombinovať do jedného spoločného karantény. V prípade potreby možno Firejail použiť aj na spustenie kontajnerov Docker, LXC a OpenVZ.
Na rozdiel od nástrojov na izoláciu kontajnerov je požiarna väznica extrémne v konfigurácii a nevyžaduje prípravu obrazu systému - zloženie kontajnera sa vytvára za behu na základe obsahu aktuálneho súborového systému a po dokončení aplikácie sa vymaže. K dispozícii sú flexibilné prostriedky na nastavenie pravidiel prístupu k súborovému systému; môžete určiť, ktoré súbory a adresáre majú povolený alebo zakázaný prístup, pripojiť dočasné súborové systémy (tmpfs) pre údaje, obmedziť prístup k súborom alebo adresárom len na čítanie, kombinovať adresáre pomocou bind-mount a overlayfs.
Pre veľké množstvo populárnych aplikácií, vrátane Firefox, Chromium, VLC a Transmission, pripravené izolácia systémových volaní. Ak chcete spustiť program v režime izolácie, jednoducho zadajte názov aplikácie ako argument obslužnému programu firejail, napríklad „firejail firefox“ alebo „sudo firejail /etc/init.d/nginx start“.
V novom vydaní:
- Chyba zabezpečenia, ktorá umožňuje škodlivému procesu obísť mechanizmus obmedzenia systémových hovorov, bola opravená. Podstatou zraniteľnosti je, že filtre Seccomp sa skopírujú do adresára /run/firejail/mnt, ktorý je zapisovateľný v rámci izolovaného prostredia. Škodlivé procesy spustené v režime izolácie môžu tieto súbory upraviť, čo spôsobí, že nové procesy spustené v rovnakom prostredí sa spustia bez použitia filtra systémových volaní;
- Filter memory-deny-write-execute zabezpečuje, že volanie „memfd_create“ je zablokované;
- Pridaná nová voľba "private-cwd" na zmenu pracovného adresára pre väzenie;
- Pridaná možnosť „--nodbus“ na blokovanie zásuviek D-Bus;
- Vrátená podpora pre CentOS 6;
- podpora balíkov vo formátoch и .
že tieto balíky by mali používať svoje vlastné nástroje; - Boli pridané nové profily na izoláciu ďalších 87 programov, vrátane mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentácie, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp a cantata.
Zdroj: opennet.ru