pagpapalabas ng proyekto , kung saan binuo ang isang system para sa hiwalay na pagpapatupad ng mga graphical, console at mga application ng server. Ang paggamit ng Firejail ay nagbibigay-daan sa iyong mabawasan ang panganib na makompromiso ang pangunahing system kapag nagpapatakbo ng mga hindi mapagkakatiwalaan o potensyal na masusugatan na mga programa. Ang programa ay nakasulat sa wikang C, lisensyado sa ilalim ng GPLv2 at maaaring tumakbo sa anumang pamamahagi ng Linux na may kernel na mas matanda sa 3.0. Mga handa na pakete na may Firejail sa deb (Debian, Ubuntu) at rpm (CentOS, Fedora) na mga format.
Para sa paghihiwalay sa Firejail namespaces, AppArmor, at system call filtering (seccomp-bpf) sa Linux. Kapag nailunsad na, ang program at ang lahat ng child na proseso nito ay gumagamit ng magkakahiwalay na view ng kernel resources, gaya ng network stack, process table, at mount point. Ang mga application na nakadepende sa isa't isa ay maaaring pagsamahin sa isang karaniwang sandbox. Kung ninanais, maaari ding gamitin ang Firejail para magpatakbo ng mga container ng Docker, LXC at OpenVZ.
Hindi tulad ng mga tool sa pagkakabukod ng lalagyan, ang firejail ay labis sa pagsasaayos at hindi nangangailangan ng paghahanda ng isang imahe ng system - ang komposisyon ng lalagyan ay nabuo sa mabilisang batay sa mga nilalaman ng kasalukuyang file system at tinanggal pagkatapos makumpleto ang aplikasyon. Ang mga flexible na paraan ng pagtatakda ng mga panuntunan sa pag-access sa file system ay ibinigay; maaari mong matukoy kung aling mga file at direktoryo ang pinapayagan o tinanggihan ng pag-access, ikonekta ang mga pansamantalang file system (tmpfs) para sa data, limitahan ang pag-access sa mga file o direktoryo sa read-only, pagsamahin ang mga direktoryo sa pamamagitan ng bind-mount at mga overlay.
Para sa isang malaking bilang ng mga sikat na application, kabilang ang Firefox, Chromium, VLC at Transmission, handa na paghihiwalay ng system call. Para magpatakbo ng program sa isolation mode, tukuyin lang ang pangalan ng application bilang argumento sa firejail utility, halimbawa, βfirejail firefoxβ o βsudo firejail /etc/init.d/nginx startβ.
Sa bagong release:
- Ang isang kahinaan na nagbibigay-daan sa isang nakakahamak na proseso na i-bypass ang mekanismo ng paghihigpit sa tawag ng system ay naayos na. Ang kakanyahan ng kahinaan ay ang mga filter ng Seccomp ay kinopya sa direktoryo ng /run/firejail/mnt, na maaaring isulat sa loob ng nakahiwalay na kapaligiran. Maaaring baguhin ng mga nakakahamak na prosesong tumatakbo sa isolation mode ang mga file na ito, na magdudulot ng mga bagong prosesong tumatakbo sa parehong kapaligiran na maisakatuparan nang hindi inilalapat ang filter ng system call;
- Tinitiyak ng memory-deny-write-execute na filter na ang "memfd_create" na tawag ay naharang;
- Nagdagdag ng bagong opsyon na "private-cwd" upang baguhin ang gumaganang direktoryo para sa kulungan;
- Idinagdag ang opsyong "--nodbus" upang harangan ang mga socket ng D-Bus;
- Ibinalik ang suporta para sa CentOS 6;
- suporta para sa mga pakete sa mga format ΠΈ .
na ang mga paketeng ito ay dapat gumamit ng sarili nilang tooling; - Ang mga bagong profile ay naidagdag upang ihiwalay ang 87 karagdagang mga programa, kabilang ang mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp at cantata.
Pinagmulan: opennet.ru