ProHoster > Blog > internet haberleri > Firejail Uygulama İzolasyon Sistemi 0.9.62 Yayınlandı

Firejail Uygulama İzolasyon Sistemi 0.9.62 Yayınlandı

Altı aylık geliştirmeden sonra kullanılabilir proje sürümü Yangın Hapishanesi 0.9.62grafik, konsol ve sunucu uygulamalarının yalıtılmış olarak yürütülmesi için bir sistemin geliştirildiği bir sistemdir. Firejail'i kullanmak, güvenilmez veya potansiyel olarak savunmasız programları çalıştırırken ana sistemin tehlikeye girmesi riskini en aza indirmenize olanak tanır. Program C dilinde yazılmıştır, tarafından dağıtıldı GPLv2 kapsamında lisanslıdır ve 3.0'dan eski çekirdeğe sahip herhangi bir Linux dağıtımında çalışabilir. Firejail ile hazır paketler hazır deb (Debian, Ubuntu) ve rpm (CentOS, Fedora) formatlarında.

Firejail'de tecrit için kullanılmış Linux'ta ad alanları, AppArmor ve sistem çağrısı filtreleme (seccomp-bpf). Program ve tüm alt süreçleri başlatıldığında, ağ yığını, süreç tablosu ve bağlama noktaları gibi çekirdek kaynaklarının ayrı görünümlerini kullanır. Birbirine bağımlı uygulamalar tek bir ortak sanal alanda birleştirilebilir. Firejail istenirse Docker, LXC ve OpenVZ konteynerlerini çalıştırmak için de kullanılabilir.

Konteyner yalıtım araçlarının aksine, yangın hapishanesi son derece dayanıklıdır. kolay konfigürasyondadır ve bir sistem görüntüsünün hazırlanmasını gerektirmez - kap kompozisyonu mevcut dosya sisteminin içeriğine göre anında oluşturulur ve uygulama tamamlandıktan sonra silinir. Dosya sistemine erişim kurallarını ayarlamak için esnek araçlar sağlanmıştır; hangi dosya ve dizinlere erişime izin verildiğini veya reddedildiğini belirleyebilir, veriler için geçici dosya sistemlerini (tmpfs) bağlayabilir, dosyalara veya dizinlere erişimi salt okunur olarak sınırlayabilir, dizinleri bağlama montajı ve kaplamalar.

Firefox, Chromium, VLC ve Transmission dahil çok sayıda popüler uygulama için hazır profiller sistem çağrısı izolasyonu. Korumalı alan ortamı oluşturmak için gerekli ayrıcalıkları elde etmek amacıyla, Firejail yürütülebilir dosyası SUID kök bayrağıyla birlikte yüklenir (ayrıcalıklar başlatma sonrasında sıfırlanır). Bir programı izolasyon modunda çalıştırmak için, uygulama adını firejail yardımcı programına argüman olarak belirtmeniz yeterlidir; örneğin, "firejail firefox" veya "sudo firejail /etc/init.d/nginx start".

Yeni sürümde:

  • /etc/firejail/firejail.config yapılandırma dosyasında katma “--private-*” seçeneklerini kullanırken belleğe kopyalanacak dosyaların boyutunu sınırlamanıza olanak tanıyan file-copy-limit ayarı (varsayılan olarak sınır 500 MB'a ayarlanmıştır).
  • Yeni uygulama kısıtlama profilleri oluşturmaya yönelik şablonlar /usr/share/doc/firejail dizinine eklendi.
  • Profiller hata ayıklayıcıların kullanımına izin verir.
  • Seccomp mekanizması kullanılarak sistem çağrılarının filtrelenmesi iyileştirildi.
  • Derleyici bayraklarının otomatik algılanması sağlanır.
  • Chroot çağrısı artık yola göre değil, dosya tanımlayıcıya göre bağlama noktaları kullanılarak yapılıyor.
  • /usr/share dizini çeşitli profiller tarafından beyaz listeye alınmıştır.
  • Katkı bölümüne yeni yardımcı komut dosyaları gdb-firejail.sh ve sort.py eklendi.
  • Ayrıcalıklı kodun (SUID) yürütülmesi aşamasında güçlendirilmiş koruma.
  • Profiller için, bir X sunucusunun ve ağ erişiminin varlığını kontrol etmek amacıyla yeni HAS_X11 ve HAS_NET koşullu nitelikleri uygulandı.
  • Yalıtılmış uygulama başlatma için profiller eklendi (toplam profil sayısı 884'e çıktı):
    • i2p,
    • tor-tarayıcı (AUR),
    • Zulip,
    • rsync
    • sinyal-cli
    • tcpdump
    • köpekbalığı,
    • qgi'ler
    • AçıkArena,
    • tanrı,
    • lateks formülü,
    • klatexformula_cmdl,
    • linkler,
    • xlink'ler,
    • pandoc
    • linux için takımlar,
    • gnome-ses kaydedici,
    • haber spikeri,
    • keepassxc-cli,
    • keepassxc-proxy,
    • ritim kutusu istemcisi,
    • Jerry
    • gayret,
    • mpg123,
    • oyun,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • dışarı123,
    • mpg123 jakı,
    • mpg123-nas,
    • mpg123-açık,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-darbe,
    • mpg123 şeridi,
    • pavucontrol-qt,
    • gnome karakterleri,
    • gnome-karakter haritası,
    • Balina kuşu
    • tb-başlangıç-sarmalayıcı,
    • kedi,
    • kiwix-masaüstü,
    • kedi,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar
    • cüce-lateks,
    • png nicelik
    • kalgebra
    • kalgebramobile,
    • eğlenmiş
    • buldum,
    • küfür,
    • ses kaydedici,
    • kamera monitörü
    • ddgtk
    • çizim,
    • unf,
    • gmpc,
    • elektron postası,
    • öz,
    • öz-yapıştır.

Kaynak: opennet.ru

Yorum ekle