Grafik, konsol ve sunucu uygulamalarının izole bir şekilde yürütülmesi için bir sistem geliştiren ve güvenilmez veya potansiyel olarak savunmasız programları çalıştırırken ana sistemin tehlikeye atılması riskini en aza indirmeye olanak tanıyan Firejail 0.9.72 projesinin sürümü yayınlandı. Program C dilinde yazılmıştır, GPLv2 lisansı altında dağıtılmıştır ve 3.0'dan eski çekirdeğe sahip herhangi bir Linux dağıtımında çalışabilir. Hazır Firejail paketleri deb (Debian, Ubuntu) ve rpm (CentOS, Fedora) formatlarında hazırlanmaktadır.
Firejail, yalıtım için Linux'ta ad alanlarını, AppArmor'u ve sistem çağrısı filtrelemeyi (seccomp-bpf) kullanır. Program ve tüm alt süreçleri başlatıldığında, ağ yığını, süreç tablosu ve bağlama noktaları gibi çekirdek kaynaklarının ayrı görünümlerini kullanır. Birbirine bağımlı uygulamalar tek bir ortak sanal alanda birleştirilebilir. Firejail istenirse Docker, LXC ve OpenVZ konteynerlerini çalıştırmak için de kullanılabilir.
Konteyner izolasyon araçlarından farklı olarak Firejail'in yapılandırılması son derece basittir ve bir sistem görüntüsünün hazırlanmasını gerektirmez - konteyner kompozisyonu mevcut dosya sisteminin içeriğine göre anında oluşturulur ve uygulama tamamlandıktan sonra silinir. Dosya sistemine erişim kurallarını ayarlamak için esnek araçlar sağlanmıştır; hangi dosya ve dizinlere erişime izin verildiğini veya reddedildiğini belirleyebilir, veriler için geçici dosya sistemlerini (tmpfs) bağlayabilir, dosyalara veya dizinlere erişimi salt okunur olarak sınırlayabilir, dizinleri bağlama montajı ve kaplamalar.
Firefox, Chromium, VLC ve Transmission dahil çok sayıda popüler uygulama için hazır sistem çağrı izolasyon profilleri hazırlanmıştır. Korumalı alan ortamı oluşturmak için gerekli ayrıcalıkları elde etmek amacıyla, Firejail yürütülebilir dosyası SUID kök bayrağıyla birlikte yüklenir (ayrıcalıklar başlatma sonrasında sıfırlanır). Bir programı izolasyon modunda çalıştırmak için, uygulama adını firejail yardımcı programına argüman olarak belirtmeniz yeterlidir; örneğin, "firejail firefox" veya "sudo firejail /etc/init.d/nginx start".
Yeni sürümde:
- Ad alanlarının oluşturulmasını engelleyen sistem çağrıları için bir seccomp filtresi eklendi ("--restrict-namespaces" seçeneği etkinleştirmek için eklenmiştir). Sistem çağrı tabloları ve seccomp grupları güncellendi.
- Yeni süreçlerin ek ayrıcalıklar kazanmasını önleyen iyileştirilmiş yeni ayrıcalıkları zorla modu (NO_NEW_PRIVS).
- Kendi AppArmor profillerinizi kullanma özelliği eklendi (“--apparmor” seçeneği bağlantı için sunulur).
- Her adresten gelen IP ve trafik yoğunluğuna ilişkin bilgileri görüntüleyen nettrace ağ trafiği takip sistemi, ICMP desteğini uygulayarak "--dnstrace", "--icmptrace" ve "--snitrace" seçeneklerini sunar.
- --cgroup ve --shell komutları kaldırıldı (varsayılan değer --shell=none'dur). Firetunnel yapısı varsayılan olarak durdurulmuştur. /etc/firejail/firejail.config dosyasındaki chroot, özel kütüphane ve tracelog ayarları devre dışı bırakıldı. grsecurity desteği durduruldu.
Kaynak: opennet.ru