ProHoster > Blog > lajme në internet > Lëshimi i Sistemit të Izolimit të Aplikimit Firejail 0.9.62

Lëshimi i Sistemit të Izolimit të Aplikimit Firejail 0.9.62

Pas gjashtë muajsh zhvillimi në dispozicion publikimi i projektit Firejail 0.9.62, brenda të cilit është duke u zhvilluar një sistem për ekzekutimin e izoluar të aplikacioneve grafike, konsolale dhe serverike. Përdorimi i Firejail ju lejon të minimizoni rrezikun e komprometimit të sistemit kryesor kur ekzekutoni programe jo të besueshme ose potencialisht të cenueshme. Programi është i shkruar në gjuhën C, shperndare nga licencuar sipas GPLv2 dhe mund të funksionojë në çdo shpërndarje Linux me një kernel më të vjetër se 3.0. Paketa të gatshme me Firejail përgatitur në formatet deb (Debian, Ubuntu) dhe rpm (CentOS, Fedora).

Për izolim në Firejail janë përdorur hapësirat e emrave, AppArmor dhe filtrimi i thirrjeve të sistemit (seccomp-bpf) në Linux. Pasi të lansohet, programi dhe të gjitha proceset e tij fëmijë përdorin pamje të veçanta të burimeve të kernelit, të tilla si grupi i rrjetit, tabela e procesit dhe pikat e montimit. Aplikacionet që varen nga njëri-tjetri mund të kombinohen në një sandbox të përbashkët. Nëse dëshironi, Firejail mund të përdoret gjithashtu për të drejtuar kontejnerët Docker, LXC dhe OpenVZ.

Ndryshe nga mjetet e izolimit të kontejnerëve, burgu i zjarrit është jashtëzakonisht i madh i lehtë në konfigurim dhe nuk kërkon përgatitjen e një imazhi të sistemit - përbërja e kontejnerit formohet në fluturim bazuar në përmbajtjen e sistemit aktual të skedarëve dhe fshihet pasi të përfundojë aplikimi. Ofrohen mjete fleksibël për vendosjen e rregullave të hyrjes në sistemin e skedarëve; ju mund të përcaktoni se cilët skedarë dhe drejtori lejohen ose mohohen qasja, të lidhni sistemet e skedarëve të përkohshëm (tmpfs) për të dhëna, të kufizoni aksesin në skedarë ose drejtori vetëm për lexim, të kombinoni drejtoritë përmes bind-mount dhe mbivendosje.

Për një numër të madh aplikacionesh të njohura, duke përfshirë Firefox, Chromium, VLC dhe Transmission, të gatshme profilet izolimi i thirrjeve të sistemit. Për të marrë privilegjet e nevojshme për të vendosur një mjedis me sandbox, ekzekutuesi firejail instalohet me flamurin rrënjë SUID (privilegjet rivendosen pas inicializimit). Për të ekzekutuar një program në modalitetin e izolimit, thjesht specifikoni emrin e aplikacionit si një argument për programin firejail, për shembull, "firejail firefox" ose "sudo firejail /etc/init.d/nginx start".

Në publikimin e ri:

  • Në skedarin e konfigurimit /etc/firejail/firejail.config shtuar përcaktimi i limitit të skedarit-kopjimit, i cili ju lejon të kufizoni madhësinë e skedarëve që do të kopjohen në memorie kur përdorni opsionet "--private-*" (si parazgjedhje kufiri është vendosur në 500 MB).
  • Modelet për krijimin e profileve të reja të kufizimit të aplikacioneve janë shtuar në drejtorinë /usr/share/doc/firejail.
  • Profilet lejojnë përdorimin e korrigjuesve.
  • Filtrimi i përmirësuar i thirrjeve të sistemit duke përdorur mekanizmin seccomp.
  • Sigurohet zbulimi automatik i flamujve të përpiluesit.
  • Thirrja chroot nuk bëhet më në bazë të shtegut, por duke përdorur pikat e montimit bazuar në përshkruesin e skedarit.
  • Drejtoria /usr/share është në listën e bardhë nga profile të ndryshme.
  • Skriptet e reja ndihmëse gdb-firejail.sh dhe sort.py janë shtuar në seksionin conrib.
  • Mbrojtje e forcuar në fazën e ekzekutimit të kodit të privilegjuar (SUID).
  • Për profilet, atributet e reja të kushtëzuara HAS_X11 dhe HAS_NET janë zbatuar për të kontrolluar praninë e një serveri X dhe aksesin në rrjet.
  • Profilet e shtuara për nisjen e aplikacioneve të izoluara (numri i përgjithshëm i profileve u rrit në 884):
    • i2p,
    • tor-shfletuesi (AUR),
    • Zulip,
    • rsync
    • sinjal-cli
    • tcpdump
    • peshkaqen,
    • qgis
    • OpenArena,
    • godot,
    • klatexformula,
    • klatexformula_cmdl,
    • lidhje,
    • xlinks,
    • pandoc
    • ekipet-për-linux,
    • gnome-regjistruesi i zërit,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proxy,
    • Rhythmbox-klient,
    • jerry
    • zelli,
    • mpg123,
    • luaj,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • jashtë 123,
    • mpg123-jack,
    • mpg123-nas,
    • mpg123-i hapur,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-puls,
    • mpg123-shirit,
    • pavucontrol-qt,
    • personazhe gnome,
    • gnome-karakter-hartë,
    • Zog balene
    • tb-starter-mbështjellës,
    • bzcat,
    • kiwix-desktop,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • i pashprehur,
    • zstdmt,
    • unzstd,
    • ar
    • gnome-latex,
    • pngquant
    • kalgjebër
    • kalgebramobile,
    • të amuluara
    • k gjej,
    • sharje
    • Regjistrues audio,
    • kameramonitor
    • ddgtk
    • vizatim,
    • unf,
    • gmpc,
    • postë elektronike,
    • thelbi
    • thelb-paste.

Burimi: opennet.ru

Shto një koment