Ang paglabas ng proyekto ng Firejail 0.9.72 ay nai-publish, na bumubuo ng isang sistema para sa nakahiwalay na pagpapatupad ng mga graphical, console at mga application ng server, na nagbibigay-daan upang mabawasan ang panganib na makompromiso ang pangunahing system kapag nagpapatakbo ng mga hindi mapagkakatiwalaan o potensyal na masusugatan na mga programa. Ang programa ay nakasulat sa C, ipinamahagi sa ilalim ng lisensya ng GPLv2 at maaaring tumakbo sa anumang pamamahagi ng Linux na may kernel na mas matanda sa 3.0. Ang mga ready-made na Firejail package ay inihanda sa deb (Debian, Ubuntu) at rpm (CentOS, Fedora) na mga format.
Para sa paghihiwalay, gumagamit ang Firejail ng mga namespace, AppArmor, at system call filtering (seccomp-bpf) sa Linux. Kapag nailunsad na, ang program at ang lahat ng child na proseso nito ay gumagamit ng magkakahiwalay na view ng kernel resources, gaya ng network stack, process table, at mount point. Ang mga application na nakadepende sa isa't isa ay maaaring pagsamahin sa isang karaniwang sandbox. Kung ninanais, maaari ding gamitin ang Firejail para magpatakbo ng mga container ng Docker, LXC at OpenVZ.
Hindi tulad ng mga tool sa paghihiwalay ng lalagyan, ang firejail ay napakasimpleng i-configure at hindi nangangailangan ng paghahanda ng isang imahe ng system - ang komposisyon ng lalagyan ay nabuo sa mabilisang batay sa mga nilalaman ng kasalukuyang file system at tatanggalin pagkatapos makumpleto ang application. Ang mga flexible na paraan ng pagtatakda ng mga panuntunan sa pag-access sa file system ay ibinigay; maaari mong matukoy kung aling mga file at direktoryo ang pinapayagan o tinanggihan ng pag-access, ikonekta ang mga pansamantalang file system (tmpfs) para sa data, limitahan ang pag-access sa mga file o direktoryo sa read-only, pagsamahin ang mga direktoryo sa pamamagitan ng bind-mount at mga overlay.
Para sa isang malaking bilang ng mga sikat na application, kabilang ang Firefox, Chromium, VLC at Transmission, ang mga nakahanda nang system call isolation profile ay inihanda. Para makuha ang mga pribilehiyong kinakailangan para mag-set up ng isang sandboxed environment, ang firejail executable ay naka-install na may SUID root flag (ang mga pribilehiyo ay ni-reset pagkatapos ng initialization). Para magpatakbo ng program sa isolation mode, tukuyin lang ang pangalan ng application bilang argumento sa firejail utility, halimbawa, βfirejail firefoxβ o βsudo firejail /etc/init.d/nginx startβ.
Sa bagong release:
- Nagdagdag ng seccomp filter para sa mga system call na humaharang sa paggawa ng mga namespace (ang opsyong "--restrict-namespaces" ay idinagdag upang paganahin). Na-update ang mga talahanayan ng tawag sa system at mga pangkat ng seccom.
- Pinahusay na force-nonewprivs mode (NO_NEW_PRIVS), na pumipigil sa mga bagong proseso na makakuha ng karagdagang mga pribilehiyo.
- Idinagdag ang kakayahang gamitin ang iyong sariling mga profile ng AppArmor (ang pagpipiliang "--apparmor" ay inaalok para sa koneksyon).
- Ang sistema ng pagsubaybay sa trapiko ng network ng nettrace, na nagpapakita ng impormasyon tungkol sa IP at intensity ng trapiko mula sa bawat address, ay nagpapatupad ng suporta sa ICMP at nag-aalok ng mga opsyon na "--dnstrace", "--icmptrace" at "--snitrace".
- Ang --cgroup at --shell command ay inalis na (ang default ay --shell=none). Ang pagbuo ng Firetunnel ay itinigil bilang default. Hindi pinagana ang mga setting ng chroot, private-lib at tracelog sa /etc/firejail/firejail.config. Ang suporta sa grsecurity ay hindi na ipinagpatuloy.
Pinagmulan: opennet.ru