Efter sex månaders utveckling projekt release , inom vilket ett system utvecklas för isolerad exekvering av grafiska, konsol- och serverapplikationer. Genom att använda Firejail kan du minimera risken för att äventyra huvudsystemet när du kör opålitliga eller potentiellt sårbara program. Programmet är skrivet på C-språk, licensierad under GPLv2 och kan köras på vilken Linux-distribution som helst med en kärna äldre än 3.0. Färdiga paket med Firejail i formaten deb (Debian, Ubuntu) och rpm (CentOS, Fedora).
För isolering i Firejail namnutrymmen, AppArmor och systemanropsfiltrering (seccomp-bpf) i Linux. När programmet väl har startat använder det och alla dess underordnade processer separata vyer av kärnresurser, såsom nätverksstacken, processtabellen och monteringspunkter. Applikationer som är beroende av varandra kan kombineras till en gemensam sandlåda. Om så önskas kan Firejail även användas för att köra Docker-, LXC- och OpenVZ-containrar.
Till skillnad från verktyg för containerisolering är firejail extremt i konfigurationen och kräver inte förberedelse av en systembild - behållarkompositionen bildas i farten baserat på innehållet i det aktuella filsystemet och raderas efter att applikationen är klar. Flexibla sätt att ställa in åtkomstregler till filsystemet tillhandahålls; du kan bestämma vilka filer och kataloger som tillåts eller nekas åtkomst, ansluta temporära filsystem (tmpfs) för data, begränsa åtkomst till filer eller kataloger till skrivskyddade, kombinera kataloger genom bind-mount och överlägg.
För ett stort antal populära applikationer, inklusive Firefox, Chromium, VLC och Transmission, färdiga systemsamtalsisolering. För att erhålla de privilegier som krävs för att ställa in en sandlådemiljö installeras den körbara filen för firejail med SUID-rotflaggan (behörigheterna återställs efter initiering). För att köra ett program i isoleringsläge, ange helt enkelt applikationsnamnet som ett argument till firejail-verktyget, till exempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".
I den nya utgåvan:
- I konfigurationsfilen /etc/firejail/firejail.config file-copy-limit-inställning, som låter dig begränsa storleken på filer som kommer att kopieras till minnet när du använder alternativen "--private-*" (som standard är gränsen inställd på 500MB).
- Mallar för att skapa nya programbegränsningsprofiler har lagts till i katalogen /usr/share/doc/firejail.
- Profiler tillåter användning av debuggers.
- Förbättrad filtrering av systemanrop med hjälp av seccomp-mekanismen.
- Automatisk upptäckt av kompilatorflaggor tillhandahålls.
- Chroot-anropet görs inte längre baserat på sökvägen, utan använder monteringspunkter baserade på filbeskrivningen.
- Katalogen /usr/share är vitlistad av olika profiler.
- Nya hjälpskript gdb-firejail.sh och sort.py har lagts till i conrib-sektionen.
- Förstärkt skydd vid exekveringsstadiet av privilegierad kod (SUID).
- För profiler har nya villkorliga attribut HAS_X11 och HAS_NET implementerats för att kontrollera närvaron av en X-server och nätverksåtkomst.
- Lade till profiler för lansering av isolerade applikationer (det totala antalet profiler ökade till 884):
- i2p,
- tor-webbläsare (AUR),
- Zulip,
- rsync
- signal-cli
- tcpdump
- tshark,
- qgis
- OpenArena,
- godot,
- klatexformel,
- klatexformula_cmdl,
- länkar,
- xlinks,
- pandoc
- teams-for-linux,
- gnome-ljud-inspelare,
- newsbeuter,
- keeppassxc-cli,
- keepassxc-proxy,
- rhythmbox-klient,
- jerry
- iver,
- mpg123,
- samspela,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- ut123,
- mpg123-jack,
- mpg123-nas,
- mpg123-öppen,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-puls,
- mpg123-strip,
- pavucontrol-qt,
- gnome-karaktärer,
- gnome-karakter-karta,
- Valfågel
- tb-starter-omslag,
- bzcat,
- Kiwix-skrivbord,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- unzstd,
- ar
- gnome-latex,
- pngquant
- calgebra
- kalgebramobile,
- amulerade
- kfind,
- hädelser
- ljudinspelare,
- kameramonitor
- ddgtk
- drawio,
- unf,
- gmpc,
- elektronisk post,
- kärna,
- gist-paste.
Källa: opennet.ru