Objavljena je bila izdaja projekta Firejail 0.9.72, ki razvija sistem za izolirano izvajanje grafičnih, konzolnih in strežniških aplikacij, kar omogoča zmanjšanje tveganja ogrožanja glavnega sistema pri izvajanju nezanesljivih ali potencialno ranljivih programov. Program je napisan v jeziku C, distribuira se pod licenco GPLv2 in lahko teče v kateri koli distribuciji Linuxa z jedrom, starejšim od 3.0. Pripravljeni paketi Firejail so pripravljeni v formatih deb (Debian, Ubuntu) in rpm (CentOS, Fedora).
Za izolacijo Firejail uporablja imenske prostore, AppArmor in filtriranje sistemskih klicev (seccomp-bpf) v Linuxu. Po zagonu program in vsi njegovi podrejeni procesi uporabljajo ločene poglede virov jedra, kot so omrežni sklad, tabela procesov in točke priklopa. Aplikacije, ki so odvisne ena od druge, je mogoče združiti v en skupni peskovnik. Po želji lahko Firejail uporabite tudi za zagon vsebnikov Docker, LXC in OpenVZ.
Firejail je za razliko od orodij za izolacijo vsebnika izjemno preprost za konfiguriranje in ne zahteva priprave sistemske slike – sestava vsebnika se oblikuje sproti glede na vsebino trenutnega datotečnega sistema in se izbriše po zaključku aplikacije. Na voljo so prilagodljiva sredstva za nastavitev pravil dostopa do datotečnega sistema; lahko določite, do katerih datotek in imenikov je dostop dovoljen ali zavrnjen, povežete začasne datotečne sisteme (tmpfs) za podatke, omejite dostop do datotek ali imenikov na samo za branje, združite imenike prek bind-mount in overlayfs.
Za veliko število priljubljenih aplikacij, vključno s Firefoxom, Chromiumom, VLC in Transmissionom, so pripravljeni profili za izolacijo sistemskih klicev. Za pridobitev privilegijev, potrebnih za nastavitev okolja v peskovniku, je izvedljiva datoteka firejail nameščena s korensko zastavico SUID (privilegiji se ponastavijo po inicializaciji). Če želite zagnati program v izolacijskem načinu, preprosto podajte ime aplikacije kot argument pripomočku firejail, na primer »firejail firefox« ali »sudo firejail /etc/init.d/nginx start«.
V novi izdaji:
- Dodan filter seccomp za sistemske klice, ki blokira ustvarjanje imenskih prostorov (za omogočanje je bila dodana možnost »--restrict-namespaces«). Posodobljene tabele sistemskih klicev in skupine seccomp.
- Izboljšan način prisile nonewprivs (NO_NEW_PRIVS), ki preprečuje, da bi novi procesi pridobili dodatne privilegije.
- Dodana možnost uporabe lastnih profilov AppArmor (za povezavo je na voljo možnost »--apparmor«).
- Sistem za sledenje omrežnega prometa nettrace, ki prikazuje informacije o IP in intenzivnosti prometa z vsakega naslova, implementira podporo ICMP in ponuja možnosti "--dnstrace", "--icmptrace" in "--snitrace".
- Ukaza --cgroup in --shell sta bila odstranjena (privzeto je --shell=none). Gradnja Firetunnel je privzeto ustavljena. Onemogočene nastavitve chroot, private-lib in tracelog v /etc/firejail/firejail.config. grsecurity podpora je bila ukinjena.
Vir: opennet.ru