izdaja projekta , v okviru katerega se razvija sistem za izolirano izvajanje grafičnih, konzolnih in strežniških aplikacij. Uporaba Firejaila vam omogoča, da zmanjšate tveganje ogrožanja glavnega sistema pri izvajanju nezaupanja vrednih ali potencialno ranljivih programov. Program je napisan v jeziku C, licenciran pod GPLv2 in lahko deluje v kateri koli distribuciji Linuxa z jedrom, starejšim od 3.0. Pripravljeni paketi s Firejail v formatih deb (Debian, Ubuntu) in rpm (CentOS, Fedora).
Za izolacijo v Firejailu imenski prostori, AppArmor in filtriranje sistemskih klicev (seccomp-bpf) v Linuxu. Po zagonu program in vsi njegovi podrejeni procesi uporabljajo ločene poglede virov jedra, kot so omrežni sklad, tabela procesov in točke priklopa. Aplikacije, ki so odvisne ena od druge, je mogoče združiti v en skupni peskovnik. Po želji lahko Firejail uporabite tudi za zagon vsebnikov Docker, LXC in OpenVZ.
Za razliko od orodij za izolacijo posod je požarna zapora izjemno v konfiguraciji in ne zahteva priprave sistemske slike - sestava vsebnika se oblikuje sproti glede na vsebino trenutnega datotečnega sistema in se izbriše po zaključku aplikacije. Na voljo so prilagodljiva sredstva za nastavitev pravil dostopa do datotečnega sistema; lahko določite, do katerih datotek in imenikov je dostop dovoljen ali zavrnjen, povežete začasne datotečne sisteme (tmpfs) za podatke, omejite dostop do datotek ali imenikov na samo za branje, združite imenike prek bind-mount in overlayfs.
Za veliko število priljubljenih aplikacij, vključno s Firefoxom, Chromiumom, VLC in Transmissionom, že pripravljeno izolacija sistemskega klica. Če želite zagnati program v izolacijskem načinu, preprosto podajte ime aplikacije kot argument pripomočku firejail, na primer »firejail firefox« ali »sudo firejail /etc/init.d/nginx start«.
V novi izdaji:
- Ranljivost, ki zlonamernemu procesu omogoča, da obide sistemski mehanizem za omejevanje klicev, je bila odpravljena. Bistvo ranljivosti je v tem, da se filtri Seccomp prekopirajo v imenik /run/firejail/mnt, ki je pisljiv v izoliranem okolju. Zlonamerni procesi, ki se izvajajo v izolacijskem načinu, lahko spremenijo te datoteke, kar bo povzročilo izvajanje novih procesov, ki se izvajajo v istem okolju, brez uporabe filtra sistemskih klicev;
- Filter Memory-Deny-Write-Execute zagotavlja, da je klic »memfd_create« blokiran;
- Dodana nova možnost "private-cwd" za spremembo delovnega imenika za zapor;
- Dodana možnost "--nodbus" za blokiranje vtičnic D-Bus;
- Vrnjena podpora za CentOS 6;
- podpora za pakete v formatih и .
da morajo ti paketi uporabljati lastna orodja; - Dodani so bili novi profili za izolacijo 87 dodatnih programov, vključno z mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp in cantata.
Vir: opennet.ru