Releasen av Firejail 0.9.72-projektet har publicerats, som utvecklar ett system för isolerad exekvering av grafiska, konsol- och serverapplikationer, vilket gör det möjligt att minimera risken för att äventyra huvudsystemet när man kör opålitliga eller potentiellt sårbara program. Programmet är skrivet i C, distribuerat under GPLv2-licensen och kan köras på vilken Linux-distribution som helst med en kärna äldre än 3.0. Färdiga Firejail-paket är förberedda i formaten deb (Debian, Ubuntu) och rpm (CentOS, Fedora).
För isolering använder Firejail namnområden, AppArmor och systemanropsfiltrering (seccomp-bpf) på Linux. När det väl har startat använder programmet och alla dess underordnade processer separata vyer av kärnresurser, såsom nätverksstacken, processtabellen och monteringspunkter. Applikationer som är beroende av varandra kan kombineras till en gemensam sandlåda. Om så önskas kan Firejail även användas för att köra Docker-, LXC- och OpenVZ-containrar.
Till skillnad från verktyg för isolering av behållare är firejail extremt enkelt att konfigurera och kräver inte förberedelse av en systembild - behållarsammansättningen bildas i farten baserat på innehållet i det aktuella filsystemet och raderas efter att applikationen är klar. Flexibla sätt att ställa in åtkomstregler till filsystemet tillhandahålls; du kan bestämma vilka filer och kataloger som tillåts eller nekas åtkomst, ansluta temporära filsystem (tmpfs) för data, begränsa åtkomst till filer eller kataloger till skrivskyddade, kombinera kataloger genom bind-mount och överlägg.
För ett stort antal populära applikationer, inklusive Firefox, Chromium, VLC och Transmission, har färdiga systemanropsisoleringsprofiler utarbetats. För att erhålla de privilegier som krävs för att konfigurera en sandlådemiljö installeras den körbara filen för firejail med SUID-rotflaggan (behörigheterna återställs efter initiering). För att köra ett program i isoleringsläge, ange helt enkelt applikationsnamnet som ett argument till firejail-verktyget, till exempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nya utgåvan:
- Lade till ett seccomp-filter för systemanrop som blockerar skapandet av namnutrymmen (alternativet "--restrict-namespaces" har lagts till för att aktivera). Uppdaterade systemanropstabeller och secomp-grupper.
- Förbättrat force-nonewprivs-läge (NO_NEW_PRIVS), som förhindrar nya processer från att få ytterligare privilegier.
- Lade till möjligheten att använda dina egna AppArmor-profiler (alternativet "--apparmor" erbjuds för anslutning).
- Nettrace nätverkstrafikspårningssystem, som visar information om IP och trafikintensitet från varje adress, implementerar ICMP-stöd och erbjuder alternativen "--dnstrace", "--icmptrace" och "--snitrace".
- Kommandona --cgroup och --shell har tagits bort (standard är --shell=ingen). Firetunnelbygget stoppas som standard. Inaktiverade inställningar för chroot, private-lib och tracelog i /etc/firejail/firejail.config. grsäkerhetsstödet har upphört.
Källa: opennet.ru