publikimi i projektit , brenda të cilit është duke u zhvilluar një sistem për ekzekutimin e izoluar të aplikacioneve grafike, konsolale dhe serverike. Përdorimi i Firejail ju lejon të minimizoni rrezikun e komprometimit të sistemit kryesor kur ekzekutoni programe jo të besueshme ose potencialisht të cenueshme. Programi është i shkruar në gjuhën C, licencuar sipas GPLv2 dhe mund të funksionojë në çdo shpërndarje Linux me një kernel më të vjetër se 3.0. Paketa të gatshme me Firejail në formatet deb (Debian, Ubuntu) dhe rpm (CentOS, Fedora).
Për izolim në Firejail hapësirat e emrave, AppArmor dhe filtrimi i thirrjeve të sistemit (seccomp-bpf) në Linux. Pasi të lansohet, programi dhe të gjitha proceset e tij fëmijë përdorin pamje të veçanta të burimeve të kernelit, të tilla si grupi i rrjetit, tabela e procesit dhe pikat e montimit. Aplikacionet që varen nga njëri-tjetri mund të kombinohen në një sandbox të përbashkët. Nëse dëshironi, Firejail mund të përdoret gjithashtu për të drejtuar kontejnerët Docker, LXC dhe OpenVZ.
Ndryshe nga mjetet e izolimit të kontejnerëve, burgu i zjarrit është jashtëzakonisht i madh në konfigurim dhe nuk kërkon përgatitjen e një imazhi të sistemit - përbërja e kontejnerit formohet në fluturim bazuar në përmbajtjen e sistemit aktual të skedarëve dhe fshihet pasi të përfundojë aplikimi. Ofrohen mjete fleksibël për vendosjen e rregullave të hyrjes në sistemin e skedarëve; ju mund të përcaktoni se cilët skedarë dhe drejtori lejohen ose mohohen qasja, të lidhni sistemet e skedarëve të përkohshëm (tmpfs) për të dhëna, të kufizoni aksesin në skedarë ose drejtori vetëm për lexim, të kombinoni drejtoritë përmes bind-mount dhe mbivendosje.
Për një numër të madh aplikacionesh të njohura, duke përfshirë Firefox, Chromium, VLC dhe Transmission, të gatshme izolimi i thirrjeve të sistemit. Për të ekzekutuar një program në modalitetin e izolimit, thjesht specifikoni emrin e aplikacionit si një argument për programin firejail, për shembull, "firejail firefox" ose "sudo firejail /etc/init.d/nginx start".
Në publikimin e ri:
- Është rregulluar një cenueshmëri që lejon një proces me qëllim të keq të anashkalojë mekanizmin e kufizimit të thirrjeve të sistemit. Thelbi i cenueshmërisë është se filtrat Seccomp kopjohen në direktorinë /run/firejail/mnt, e cila mund të shkruhet brenda mjedisit të izoluar. Proceset me qëllim të keq që ekzekutohen në modalitetin e izolimit mund t'i modifikojnë këta skedarë, gjë që do të bëjë që proceset e reja që ekzekutohen në të njëjtin mjedis të ekzekutohen pa aplikuar filtrin e thirrjes së sistemit;
- Filtri memorie-mohoni-shkruaj-ekzekuton siguron që thirrja "memfd_create" është e bllokuar;
- U shtua opsioni i ri "private-cwd" për të ndryshuar drejtorinë e punës për burg;
- U shtua opsioni "--nodbus" për të bllokuar prizat D-Bus;
- Mbështetja e rikthyer për CentOS 6;
- mbështetje për paketat në formate и .
që këto paketa duhet të përdorin veglat e veta; - Janë shtuar profile të reja për të izoluar 87 programe shtesë, duke përfshirë mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-prezentime, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp dhe cantata.
Burimi: opennet.ru