Po šiestich mesiacoch vývoja k dispozícii vydanie projektu Firejail 0.9.62, v rámci ktorej sa vyvíja systém pre izolované spúšťanie grafických, konzolových a serverových aplikácií. Používanie Firejail vám umožňuje minimalizovať riziko ohrozenia hlavného systému pri spúšťaní nedôveryhodných alebo potenciálne zraniteľných programov. Program je napísaný v jazyku C, distribuovaný je licencovaný pod GPLv2 a môže bežať na akejkoľvek distribúcii Linuxu s jadrom starším ako 3.0. Hotové balíčky s Firejailom pripravené vo formátoch deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pre izoláciu v Firejail sú použité menné priestory, AppArmor a filtrovanie systémových hovorov (seccomp-bpf) v Linuxe. Po spustení program a všetky jeho podriadené procesy používajú samostatné zobrazenia zdrojov jadra, ako je sieťový zásobník, tabuľka procesov a body pripojenia. Aplikácie, ktoré sú na sebe závislé, je možné kombinovať do jedného spoločného karantény. V prípade potreby možno Firejail použiť aj na spustenie kontajnerov Docker, LXC a OpenVZ.
Na rozdiel od nástrojov na izoláciu kontajnerov je požiarna väznica extrémne jednoduchý v konfigurácii a nevyžaduje prípravu obrazu systému - zloženie kontajnera sa vytvára za behu na základe obsahu aktuálneho súborového systému a po dokončení aplikácie sa vymaže. K dispozícii sú flexibilné prostriedky na nastavenie pravidiel prístupu k súborovému systému; môžete určiť, ktoré súbory a adresáre majú povolený alebo zakázaný prístup, pripojiť dočasné súborové systémy (tmpfs) pre údaje, obmedziť prístup k súborom alebo adresárom len na čítanie, kombinovať adresáre pomocou bind-mount a overlayfs.
Pre veľké množstvo populárnych aplikácií, vrátane Firefox, Chromium, VLC a Transmission, pripravené профили izolácia systémových volaní. Na získanie privilégií potrebných na nastavenie prostredia v karanténe sa spustiteľný súbor firejail nainštaluje s koreňovým príznakom SUID (privilégiá sa po inicializácii resetujú). Ak chcete spustiť program v režime izolácie, jednoducho zadajte názov aplikácie ako argument obslužnému programu firejail, napríklad „firejail firefox“ alebo „sudo firejail /etc/init.d/nginx start“.
V novom vydaní:
V konfiguračnom súbore /etc/firejail/firejail.config pridané nastavenie limitu kopírovania súborov, ktoré vám umožňuje obmedziť veľkosť súborov, ktoré sa skopírujú do pamäte pri použití možností „--private-*“ (v predvolenom nastavení je limit nastavený na 500 MB).
Šablóny na vytváranie nových profilov obmedzení aplikácií boli pridané do adresára /usr/share/doc/firejail.
Profily umožňujú použitie debuggerov.
Vylepšené filtrovanie systémových hovorov pomocou mechanizmu seccomp.
K dispozícii je automatická detekcia príznakov kompilátora.
Volanie chroot sa už neuskutočňuje na základe cesty, ale pomocou bodov pripojenia na základe deskriptora súboru.
Adresár /usr/share je povolený rôznymi profilmi.
Do sekcie conrib boli pridané nové pomocné skripty gdb-firejail.sh a sort.py.
Posilnená ochrana vo fáze vykonávania privilegovaného kódu (SUID).
Pre profily boli implementované nové podmienené atribúty HAS_X11 a HAS_NET na kontrolu prítomnosti X servera a sieťového prístupu.
Pridané profily pre izolované spúšťanie aplikácií (celkový počet profilov sa zvýšil na 884):