proje sürümü grafik, konsol ve sunucu uygulamalarının yalıtılmış olarak yürütülmesi için bir sistemin geliştirildiği bir sistemdir. Firejail'i kullanmak, güvenilmez veya potansiyel olarak savunmasız programları çalıştırırken ana sistemin tehlikeye girmesi riskini en aza indirmenize olanak tanır. Program C dilinde yazılmıştır, GPLv2 kapsamında lisanslıdır ve 3.0'dan eski çekirdeğe sahip herhangi bir Linux dağıtımında çalışabilir. Firejail ile hazır paketler deb (Debian, Ubuntu) ve rpm (CentOS, Fedora) formatlarında.
Firejail'de tecrit için Linux'ta ad alanları, AppArmor ve sistem çağrısı filtreleme (seccomp-bpf). Program ve tüm alt süreçleri başlatıldığında, ağ yığını, süreç tablosu ve bağlama noktaları gibi çekirdek kaynaklarının ayrı görünümlerini kullanır. Birbirine bağımlı uygulamalar tek bir ortak sanal alanda birleştirilebilir. Firejail istenirse Docker, LXC ve OpenVZ konteynerlerini çalıştırmak için de kullanılabilir.
Konteyner yalıtım araçlarının aksine, yangın hapishanesi son derece dayanıklıdır. konfigürasyondadır ve bir sistem görüntüsünün hazırlanmasını gerektirmez - kap kompozisyonu mevcut dosya sisteminin içeriğine göre anında oluşturulur ve uygulama tamamlandıktan sonra silinir. Dosya sistemine erişim kurallarını ayarlamak için esnek araçlar sağlanmıştır; hangi dosya ve dizinlere erişime izin verildiğini veya reddedildiğini belirleyebilir, veriler için geçici dosya sistemlerini (tmpfs) bağlayabilir, dosyalara veya dizinlere erişimi salt okunur olarak sınırlandırabilir, dizinleri bağlama montajı ve kaplamalar.
Firefox, Chromium, VLC ve Transmission dahil çok sayıda popüler uygulama için hazır sistem çağrısı izolasyonu. Bir programı izolasyon modunda çalıştırmak için, uygulama adını firejail yardımcı programına argüman olarak belirtmeniz yeterlidir; örneğin, "firejail firefox" veya "sudo firejail /etc/init.d/nginx start".
Yeni sürümde:
- Kötü amaçlı bir işlemin sistem çağrı kısıtlama mekanizmasını atlamasına olanak tanıyan bir güvenlik açığı düzeltildi. Güvenlik açığının özü, Secomp filtrelerinin yalıtılmış ortamda yazılabilen /run/firejail/mnt dizinine kopyalanmasıdır. Yalıtım modunda çalışan kötü amaçlı işlemler bu dosyaları değiştirebilir, bu da aynı ortamda çalışan yeni işlemlerin sistem çağrısı filtresi uygulanmadan yürütülmesine neden olur;
- Bellek-reddet-yaz-yürüt filtresi, "memfd_create" çağrısının engellenmesini sağlar;
- Hapishanenin çalışma dizinini değiştirmek için yeni "private-cwd" seçeneği eklendi;
- D-Bus soketlerini engellemek için "--nodbus" seçeneği eklendi;
- CentOS 6 için geri dönen destek;
- formatlardaki paketler için destek и .
bu paketlerin kendi araçlarını kullanması gerektiğini; - Mypaint, nano, xfce87-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, dahil olmak üzere 4 ek programı izole etmek için yeni profiller eklendi. freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-sunumları, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp ve cantata.
Kaynak: opennet.ru