Po šiestich mesiacoch vývoja vydanie projektu , v rámci ktorej sa vyvíja systém pre izolované spúšťanie grafických, konzolových a serverových aplikácií. Používanie Firejail vám umožňuje minimalizovať riziko ohrozenia hlavného systému pri spúšťaní nedôveryhodných alebo potenciálne zraniteľných programov. Program je napísaný v jazyku C, je licencovaný pod GPLv2 a môže bežať na akejkoľvek distribúcii Linuxu s jadrom starším ako 3.0. Hotové balíčky s Firejailom vo formátoch deb (Debian, Ubuntu) a rpm (CentOS, Fedora).
Pre izoláciu v Firejail menné priestory, AppArmor a filtrovanie systémových hovorov (seccomp-bpf) v Linuxe. Po spustení program a všetky jeho podriadené procesy používajú samostatné zobrazenia zdrojov jadra, ako je sieťový zásobník, tabuľka procesov a body pripojenia. Aplikácie, ktoré sú na sebe závislé, je možné kombinovať do jedného spoločného karantény. V prípade potreby možno Firejail použiť aj na spustenie kontajnerov Docker, LXC a OpenVZ.
Na rozdiel od nástrojov na izoláciu kontajnerov je požiarna väznica extrémne v konfigurácii a nevyžaduje prípravu obrazu systému - zloženie kontajnera sa vytvára za behu na základe obsahu aktuálneho súborového systému a po dokončení aplikácie sa vymaže. K dispozícii sú flexibilné prostriedky na nastavenie pravidiel prístupu k súborovému systému; môžete určiť, ktoré súbory a adresáre majú povolený alebo zakázaný prístup, pripojiť dočasné súborové systémy (tmpfs) pre údaje, obmedziť prístup k súborom alebo adresárom len na čítanie, kombinovať adresáre pomocou bind-mount a overlayfs.
Pre veľké množstvo populárnych aplikácií, vrátane Firefox, Chromium, VLC a Transmission, pripravené izolácia systémových volaní. Na získanie privilégií potrebných na nastavenie prostredia v karanténe sa spustiteľný súbor firejail nainštaluje s koreňovým príznakom SUID (privilégiá sa po inicializácii resetujú). Ak chcete spustiť program v režime izolácie, jednoducho zadajte názov aplikácie ako argument obslužnému programu firejail, napríklad „firejail firefox“ alebo „sudo firejail /etc/init.d/nginx start“.
V novom vydaní:
- V konfiguračnom súbore /etc/firejail/firejail.config nastavenie limitu kopírovania súborov, ktoré vám umožňuje obmedziť veľkosť súborov, ktoré sa skopírujú do pamäte pri použití možností „--private-*“ (v predvolenom nastavení je limit nastavený na 500 MB).
- Šablóny na vytváranie nových profilov obmedzení aplikácií boli pridané do adresára /usr/share/doc/firejail.
- Profily umožňujú použitie debuggerov.
- Vylepšené filtrovanie systémových hovorov pomocou mechanizmu seccomp.
- K dispozícii je automatická detekcia príznakov kompilátora.
- Volanie chroot sa už neuskutočňuje na základe cesty, ale pomocou bodov pripojenia na základe deskriptora súboru.
- Adresár /usr/share je povolený rôznymi profilmi.
- Do sekcie conrib boli pridané nové pomocné skripty gdb-firejail.sh a sort.py.
- Posilnená ochrana vo fáze vykonávania privilegovaného kódu (SUID).
- Pre profily boli implementované nové podmienené atribúty HAS_X11 a HAS_NET na kontrolu prítomnosti X servera a sieťového prístupu.
- Pridané profily pre izolované spúšťanie aplikácií (celkový počet profilov sa zvýšil na 884):
- i2p,
- prehliadač tor (AUR),
- Zulip,
- rsync
- signál-cli
- tcpdump
- tshark,
- qgis
- OpenArena,
- Godot,
- klatexformula,
- klatexformula_cmdl,
- odkazy,
- xlinks,
- pandoc
- tímy pre linux,
- gnome-sound-recorder,
- newsbeuter,
- keepassxc-cli,
- keepassxc-proxy,
- klient rhythmbox,
- jerry
- horlivosť,
- mpg123,
- hra,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- out123,
- mpg123-jack,
- mpg123-nas,
- mpg123-openal,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-pulse,
- mpg123-strip,
- pavucontrol-qt,
- postavy trpaslíkov,
- gnome-character-map,
- Veľrybí vták
- tb-starter-wrapper,
- bzcat,
- kiwixová pracovná plocha,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar
- gnome-latex,
- pngquant
- kalgebra
- kalgebramobil,
- amuled
- nájsť,
- nadávky
- nahrávač zvuku,
- kameramonitor
- ddgtk
- kreslenie,
- unf,
- gmpc,
- elektronická pošta,
- podstata
- gist-paste.
Zdroj: opennet.ru