Pelepasan proyék Firejail 0.9.72 parantos diterbitkeun, anu ngembangkeun sistem pikeun palaksanaan terasing tina aplikasi grafis, konsol sareng server, ngamungkinkeun pikeun ngaminimalkeun résiko kompromi sistem utama nalika ngajalankeun program anu teu dipercaya atanapi berpotensi rentan. Program ieu ditulis dina C, disebarkeun dina lisénsi GPLv2 sareng tiasa dijalankeun dina distribusi Linux mana waé kalayan kernel anu langkung lami ti 3.0. Bungkusan Firejail siap-siap disiapkeun dina format deb (Debian, Ubuntu) sareng rpm (CentOS, Fedora).
Pikeun ngasingkeun, Firejail nganggo rohangan ngaran, AppArmor, sareng panyaring sauran sistem (seccomp-bpf) dina Linux. Sakali diluncurkeun, program sareng sadaya prosés anakna nganggo pandangan anu misah pikeun sumber kernel, sapertos tumpukan jaringan, méja prosés, sareng titik gunung. Aplikasi nu silih gumantung bisa digabungkeun kana hiji sandbox umum. Upami hoyong, Firejail ogé tiasa dianggo pikeun ngajalankeun wadah Docker, LXC sareng OpenVZ.
Beda sareng alat isolasi wadahna, firejail saderhana pisan pikeun ngonpigurasikeun sareng henteu ngabutuhkeun persiapan gambar sistem - komposisi wadahna kabentuk dina laleur dumasar kana eusi sistem file anu ayeuna sareng dihapus saatos aplikasina réngsé. Sarana fléksibel pikeun netepkeun aturan aksés kana sistem file anu disayogikeun; anjeun tiasa nangtoskeun file sareng diréktori mana anu diidinan atanapi ditolak aksés, nyambungkeun sistem file samentawis (tmpfs) pikeun data, ngawatesan aksés kana file atanapi diréktori pikeun dibaca wungkul, ngagabungkeun diréktori ngaliwatan ngabeungkeut-Gunung na overlayfs.
Pikeun sajumlah ageung aplikasi populér, kalebet Firefox, Chromium, VLC sareng Transmission, propil isolasi panggero sistem siap-siap parantos disiapkeun. Pikeun ménta hak husus anu diperlukeun pikeun nyetél lingkungan sandboxed, executable firejail dipasang kalayan bandéra akar SUID (hak husus nu ngareset sanggeus initialization). Pikeun ngajalankeun program dina modeu isolasi, saukur nangtukeun nami aplikasi salaku argumen pikeun utilitas firejail, contona, "firejail firefox" atawa "sudo firejail /etc/init.d/nginx ngamimitian".
Dina rilis anyar:
- Nambahkeun saringan seccomp pikeun sauran sistem anu ngahalangan nyiptakeun rohangan ngaran (pilihan "--restrict-namespaces" parantos dilebetkeun pikeun ngaktifkeun). Diropéa tabel panggero sistem jeung grup seccom.
- Ningkatkeun mode gaya-nonewprivs (NO_NEW_PRIVS), nu nyegah prosés anyar meunang hak husus tambahan.
- Ditambahkeun kamampuan ngagunakeun propil AppArmor anjeun nyalira (pilihan "--apparmor" ditawarkeun pikeun sambungan).
- Sistem tracking lalu lintas jaringan nettrace, anu ningalikeun inpormasi ngeunaan IP sareng inténsitas lalu lintas ti unggal alamat, ngalaksanakeun dukungan ICMP sareng nawiskeun pilihan "--dnstrace", "--icmptrace" sareng "--snitrace".
- Paréntah --cgroup sareng --shell parantos dihapus (standarna nyaéta --shell=none). Ngawangun Firetunnel dieureunkeun sacara standar. chroot ditumpurkeun, private-lib na tracelog setélan dina /etc/firejail/firejail.config. rojongan grsecurity geus dieureunkeun.
sumber: opennet.ru