release proyék , di mana hiji sistem keur dimekarkeun pikeun palaksanaan terasing tina grafis, konsol jeung aplikasi server. Ngagunakeun Firejail ngamungkinkeun anjeun pikeun ngaleutikan résiko kompromi sistem utama nalika ngajalankeun program anu teu dipercaya atanapi berpotensi rentan. Programna ditulis dina basa C, dilisensikeun dina GPLv2 sareng tiasa dijalankeun dina distribusi Linux naon waé kalayan kernel anu langkung lami ti 3.0. Paket siap sareng Firejail dina format deb (Debian, Ubuntu) sareng rpm (CentOS, Fedora).
Pikeun isolasi di Firejail namespaces, AppArmor, sareng panyaring panggero sistem (seccomp-bpf) dina Linux. Sakali diluncurkeun, program sareng sadaya prosés anakna nganggo pandangan anu misah pikeun sumber kernel, sapertos tumpukan jaringan, méja prosés, sareng titik gunung. Aplikasi nu silih gumantung bisa digabungkeun kana hiji sandbox umum. Upami hoyong, Firejail ogé tiasa dianggo pikeun ngajalankeun wadah Docker, LXC sareng OpenVZ.
Teu kawas parabot insulasi wadahna, firejail pisan dina konfigurasi sareng henteu ngabutuhkeun persiapan gambar sistem - komposisi wadahna kabentuk dina laleur dumasar kana eusi sistem file ayeuna sareng dihapus saatos aplikasina réngsé. Sarana fléksibel pikeun netepkeun aturan aksés kana sistem file anu disayogikeun; anjeun tiasa nangtoskeun file sareng diréktori mana anu diidinan atanapi ditolak aksés, nyambungkeun sistem file samentawis (tmpfs) pikeun data, ngawatesan aksés kana file atanapi diréktori pikeun dibaca wungkul, ngagabungkeun diréktori ngaliwatan ngabeungkeut-Gunung na overlayfs.
Pikeun sajumlah ageung aplikasi populér, kalebet Firefox, Chromium, VLC sareng Transmission, tos siap isolasi panggero sistem. Pikeun ngajalankeun program dina modeu isolasi, saukur nangtukeun nami aplikasi salaku argumen pikeun utilitas firejail, contona, "firejail firefox" atawa "sudo firejail /etc/init.d/nginx ngamimitian".
Dina rilis anyar:
- Kerentanan anu ngamungkinkeun prosés jahat ngalangkungan mékanisme pangwatesan panggero sistem parantos dibenerkeun. Intina kerentanan nyaéta saringan Seccomp disalin kana diréktori /run/firejail/mnt, anu tiasa ditulis dina lingkungan anu terasing. Prosés jahat anu dijalankeun dina modeu isolasi tiasa ngarobih file ieu, anu bakal nyababkeun prosés énggal dijalankeun dina lingkungan anu sami dieksekusi tanpa nerapkeun saringan panggero sistem;
- Filter memori-mungkir-nulis-ngaéksekusi mastikeun yén panggero "memfd_create" diblokir;
- Ditambahkeun pilihan anyar "swasta-cwd" pikeun ngarobah diréktori kerja pikeun jail;
- Ditambahkeun "--nodbus" pilihan pikeun meungpeuk sockets D-Bus;
- Ngabalikeun dukungan pikeun CentOS 6;
- rojongan pikeun bungkusan dina format и .
yén bungkusan ieu kedah nganggo perkakas sorangan; - Propil anyar parantos ditambahkeun pikeun ngasingkeun 87 program tambahan, kalebet mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentasi, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp jeung cantata.
sumber: opennet.ru