การเปิดตัวโปรเจ็กต์ Firejail 0.9.72 ได้รับการเผยแพร่แล้ว ซึ่งพัฒนาระบบสำหรับการดำเนินการแบบแยกส่วนของแอปพลิเคชันกราฟิก คอนโซล และเซิร์ฟเวอร์ ซึ่งช่วยลดความเสี่ยงในการโจมตีระบบหลักเมื่อรันโปรแกรมที่ไม่น่าเชื่อถือหรืออาจมีช่องโหว่ โปรแกรมนี้เขียนด้วยภาษา C ซึ่งเผยแพร่ภายใต้ลิขสิทธิ์ GPLv2 และสามารถทำงานบน Linux รุ่นใดก็ได้ที่มีเคอร์เนลเก่ากว่า 3.0 แพ็คเกจ Firejail สำเร็จรูปจัดทำขึ้นในรูปแบบ deb (Debian, Ubuntu) และ rpm (CentOS, Fedora)
สำหรับการแยก Firejail จะใช้เนมสเปซ, AppArmor และการกรองการโทรของระบบ (seccomp-bpf) บน Linux เมื่อเปิดตัวแล้ว โปรแกรมและกระบวนการย่อยทั้งหมดจะใช้มุมมองทรัพยากรเคอร์เนลแยกกัน เช่น สแตกเครือข่าย ตารางกระบวนการ และจุดเชื่อมต่อ แอปพลิเคชันที่ต้องพึ่งพาซึ่งกันและกันสามารถรวมกันเป็นแซนด์บ็อกซ์ทั่วไปอันเดียวได้ หากต้องการ คุณสามารถใช้ Firejail เพื่อเรียกใช้คอนเทนเนอร์ Docker, LXC และ OpenVZ ได้
แตกต่างจากเครื่องมือแยกคอนเทนเนอร์ตรงที่ Firejail กำหนดค่าได้ง่ายมากและไม่จำเป็นต้องเตรียมอิมเมจระบบ องค์ประกอบของคอนเทนเนอร์จะถูกสร้างขึ้นทันทีตามเนื้อหาของระบบไฟล์ปัจจุบัน และจะถูกลบหลังจากแอปพลิเคชันเสร็จสมบูรณ์ มีวิธีการตั้งค่ากฎการเข้าถึงระบบไฟล์ที่ยืดหยุ่น คุณสามารถกำหนดได้ว่าไฟล์และไดเร็กทอรีใดที่ได้รับอนุญาตหรือปฏิเสธการเข้าถึง เชื่อมต่อระบบไฟล์ชั่วคราว (tmpfs) สำหรับข้อมูล จำกัดการเข้าถึงไฟล์หรือไดเร็กทอรีเป็นแบบอ่านอย่างเดียว รวมไดเร็กทอรีผ่าน ผูกติดและซ้อนทับ
สำหรับแอปพลิเคชันยอดนิยมจำนวนมาก รวมถึง Firefox, Chromium, VLC และ Transmission ได้มีการเตรียมโปรไฟล์การแยกการโทรระบบสำเร็จรูปไว้แล้ว เพื่อให้ได้สิทธิ์ที่จำเป็นในการตั้งค่าสภาพแวดล้อมแบบแซนด์บ็อกซ์ โปรแกรมปฏิบัติการ firejail จะได้รับการติดตั้งพร้อมกับแฟล็กรูท SUID (สิทธิ์จะถูกรีเซ็ตหลังจากการกำหนดค่าเริ่มต้น) หากต้องการรันโปรแกรมในโหมดแยก เพียงระบุชื่อแอปพลิเคชันเป็นอาร์กิวเมนต์ของยูทิลิตี้ firejail เช่น “firejail firefox” หรือ “sudo firejail /etc/init.d/nginx start”
ในรุ่นใหม่:
- เพิ่มตัวกรอง seccomp สำหรับการเรียกของระบบที่บล็อกการสร้างเนมสเปซ (เพิ่มตัวเลือก "--restrict-namespaces" เพื่อเปิดใช้งาน) อัปเดตตารางการเรียกระบบและกลุ่ม seccomp
- ปรับปรุงโหมดบังคับ nonewprivs (NO_NEW_PRIVS) ซึ่งป้องกันไม่ให้กระบวนการใหม่ได้รับสิทธิพิเศษเพิ่มเติม
- เพิ่มความสามารถในการใช้โปรไฟล์ AppArmor ของคุณเอง (มีตัวเลือก “--apparmor” สำหรับการเชื่อมต่อ)
- ระบบติดตามการรับส่งข้อมูลเครือข่าย nettrace ซึ่งแสดงข้อมูลเกี่ยวกับ IP และความเข้มข้นของการรับส่งข้อมูลจากแต่ละที่อยู่ ใช้การสนับสนุน ICMP และเสนอตัวเลือก "--dnstrace", "--icmptrace" และ "--snitrace"
- คำสั่ง --cgroup และ --shell ได้ถูกลบออกแล้ว (ค่าเริ่มต้นคือ --shell=none) การสร้าง Firetunnel จะหยุดทำงานตามค่าเริ่มต้น ปิดใช้งานการตั้งค่า chroot, private-lib และ Tracelog ใน /etc/firejail/firejail.config การสนับสนุนด้านความมั่นคงปลอดภัยถูกยกเลิกแล้ว
ที่มา: opennet.ru