нашри лоиҳа , ки дар доираи он система барои иҷрои ҷудогонаи барномаҳои графикӣ, консолӣ ва серверӣ таҳия карда мешавад. Истифодаи Firejail ба шумо имкон медиҳад, ки хатари осебпазирии системаи асосиро ҳангоми иҷрои барномаҳои нобовар ё эҳтимолан осебпазир кам кунед. Барнома бо забони C навишта шудааст, дар доираи GPLv2 иҷозатнома дорад ва метавонад дар ҳама гуна тақсимоти Linux бо ядрои калонтар аз 3.0 кор кунад. Бастаҳои тайёр бо Firejail дар форматҳои deb (Debian, Ubuntu) ва rpm (CentOS, Fedora).
Барои ҷудошавӣ дар Firejail фазои номҳо, AppArmor ва филтркунии зангҳои система (seccomp-bpf) дар Linux. Пас аз оғоз шудан, барнома ва ҳамаи равандҳои кӯдаки он намуди ҷудогонаи захираҳои ядроиро истифода мебаранд, аз қабили стеки шабака, ҷадвали раванд ва нуқтаҳои васлкунӣ. Барномаҳое, ки аз ҳамдигар вобастаанд, метавонанд дар як қуттии умумӣ муттаҳид карда шаванд. Агар хоҳед, Firejail инчунин метавонад барои идора кардани контейнерҳои Docker, LXC ва OpenVZ истифода шавад.
Баръакси асбобҳои изолятсияи контейнер, оташдон бениҳоят аст дар конфигуратсия ва омодасозии тасвири системаро талаб намекунад - таркиби контейнер дар асоси мундариҷаи системаи файлии ҷорӣ ташаккул меёбад ва пас аз анҷоми барнома нест карда мешавад. Воситаҳои фасеҳи муқаррар кардани қоидаҳои дастрасӣ ба системаи файлӣ пешниҳод карда мешаванд; шумо метавонед муайян кунед, ки кадом файлҳо ва директорияҳо дастрасанд ё манъ карда шудаанд, системаҳои муваққатии файлиро (tmpfs) барои маълумот пайваст кунед, дастрасиро ба файлҳо ё директорияҳо маҳдуд кунед, то барои хондан танҳо директорияҳоро якҷоя кунед. bind-mount ва overlayfs.
Барои шумораи зиёди барномаҳои маъмул, аз ҷумла Firefox, Chromium, VLC ва Transmission, омода аст изолятсияи зангҳои система. Барои иҷро кардани барнома дар ҳолати ҷудокунӣ, танҳо номи барномаро ҳамчун далел ба утилитаи firejail муайян кунед, масалан, "firejail firefox" ё "sudo firejail /etc/init.d/nginx start".
Дар нашри нав:
- Осебӣ, ки ба раванди зараровар имкон медиҳад, ки механизми маҳдудкунии зангҳои системаро гузарад, ислоҳ карда шуд. Моҳияти осебпазирӣ дар он аст, ки филтрҳои Seccomp ба директорияи /run/firejail/mnt нусхабардорӣ карда мешаванд, ки дар муҳити ҷудошуда навиштан мумкин аст. Равандҳои зарароваре, ки дар ҳолати ҷудокунӣ кор мекунанд, метавонанд ин файлҳоро тағир диҳанд, ки боиси он мегардад, ки равандҳои наве, ки дар ҳамон муҳит кор мекунанд, бидуни истифодаи филтри занги система иҷро шаванд;
- Филтри хотира-инкор-навиштан-иҷро кафолат медиҳад, ки занги "memfd_create" баста мешавад;
- Илова кардани варианти нави "private-cwd" барои тағир додани феҳристи корӣ барои зиндон;
- Опсияи "--nodbus" барои бастани розеткаҳои D-Bus илова карда шуд;
- Дастгирии баргардонидашуда барои CentOS 6;
- дастгирии бастаҳо дар форматҳо и .
ки ин бастаҳо бояд асбобҳои худро истифода баранд; - Барои ҷудо кардани 87 барномаи иловагӣ профилҳои нав илова карда шуданд, аз ҷумла mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-meneger, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ва кантата.
Манбаъ: opennet.ru