Siideynta mashruuca Firejail 0.9.72 ayaa la daabacay, kaas oo soo saara nidaamka fulinta go'doonsan ee garaafyada, console-ka iyo codsiyada server-ka, taas oo u oggolaanaysa in la yareeyo khatarta ah in la carqaladeeyo nidaamka ugu muhiimsan marka uu socdo barnaamijyo aan la aamini karin ama suurtagal ah. Barnaamijku wuxuu ku qoran yahay C, oo lagu qaybiyay shatiga GPLv2 wuxuuna ku shaqayn karaa qaybinta Linux kasta oo leh kernel ka weyn 3.0. Xirmooyinka Firejail ee diyaarsan waxaa lagu diyaariyaa qaabab deb (Debian, Ubuntu) iyo rpm (CentOS, Fedora).
Go'doominta, Firejail waxay isticmaashaa meelaha magacyada, AppArmor, iyo shaandhaynta wicitaanka nidaamka (seccomp-bpf) Linux. Marka la bilaabo, barnaamijka iyo dhammaan geeddi-socodyada carruurtu waxay isticmaalaan aragtiyo kala duwan oo ku saabsan ilaha kernel-ka, sida xirmooyinka shabakadda, miiska habka, iyo dhibcaha korka. Codsiyada midba midka kale ku tiirsan ayaa lagu dari karaa hal sanduuq oo caadi ah. Haddii la rabo, Firejail waxa kale oo loo isticmaali karaa in lagu socodsiiyo weelasha Docker, LXC iyo OpenVZ.
Si ka duwan sida qalabka go'doominta weelka, dab-demiska aad buu u fudud yahay in la habeeyo oo uma baahna diyaarinta sawirka nidaamka - halabuurka weelka waxaa lagu sameeyay duullimaad iyadoo lagu saleynayo waxa ku jira nidaamka faylka hadda jira waana la tirtiraa ka dib marka codsiga la dhammeeyo. Hab dabacsan oo lagu dejiyo shuruucda gelitaanka nidaamka faylka ayaa la bixiyaa; waxaad go'aamin kartaa faylalka iyo hagayaasha la oggol yahay ama loo diiday inay galaan, ku xidh nidaamka faylka ku meel gaadhka ah (tmpfs) ee xogta, xaddid gelitaanka faylalka ama hagayaasha si loo akhriyo-kaliya, isku dar hagayaasha iyada oo loo marayo Buur-xidheen iyo dul-saarid.
Codsiyo badan oo caan ah, oo ay ku jiraan Firefox, Chromium, VLC iyo Gudbinta, nidaamka go'doominta ee nidaamka diyaarsan ayaa la diyaariyey. Si loo helo mudnaanta lagama maarmaanka u ah in la dejiyo jawi bacaad lagu lisay, xabsiga dab-demiska waxaa lagu rakibay calanka xididka SUID (mudnaanta ayaa dib loo dajiyay ka dib bilowga). Si aad u socodsiiso barnaamijka qaab gooni ah, si fudud u sheeg magaca codsiga dood ahaan utility jail, tusaale ahaan, "firejail firefox" ama "sudo firejail /etc/init.d/nginx start".
Siideynta cusub:
- Waxaa lagu daray filtarka seccomp ee wicitaanada nidaamka xannibaya abuurista meelo magacyo ah (doorashada "--restrict-namespaces" ayaa lagu daray si loo suurtageliyo). Jadwalka wicitaanka nidaamka oo la cusboonaysiiyay iyo kooxaha seccomp.
- Qaabka xoog-noqowprivs oo la hagaajiyay (NO_NEW_PRIVS), kaas oo ka hortagaya hababka cusub inay helaan mudnaanta dheeraadka ah.
- Waxaa lagu daray awoodda aad ku isticmaali karto astaantaada AppArmor (doorashada "--apparmor" ayaa loo bixiyaa isku xirka).
- Nidaamka raadraaca taraafigga ee shabakada nettrace, kaas oo soo bandhigaya macluumaadka ku saabsan IP-ga iyo xoojinta taraafikada cinwaan kasta, waxay fulisaa taageerada ICMP waxayna bixisaa "- dnstrace", "--icmptrace" iyo "--snitrace" fursadaha.
- Awaamiirtii --cgroup iyo --shell waa laga saaray (sida caadiga ah waa --shell=midna). Dhismaha Firetunnel si caadi ah ayaa loo joojiyaa. Chroot naafada ah, private-lib iyo goobaha raadraaca ee /etc/firejail/firejail.config. Taageerada cabsida leh waa la joojiyay.
Source: opennet.ru