فائرجیل 0.9.72 پروجیکٹ کا اجراء شائع کیا گیا ہے، جو گرافیکل، کنسول اور سرور ایپلی کیشنز کے الگ تھلگ عمل درآمد کے لیے ایک نظام تیار کرتا ہے، جس سے ناقابل اعتماد یا ممکنہ طور پر کمزور پروگرام چلاتے وقت مرکزی نظام سے سمجھوتہ کرنے کے خطرے کو کم کیا جا سکتا ہے۔ یہ پروگرام C میں لکھا گیا ہے، جو GPLv2 لائسنس کے تحت تقسیم کیا گیا ہے اور 3.0 سے پرانے کرنل کے ساتھ کسی بھی لینکس کی تقسیم پر چل سکتا ہے۔ ریڈی میڈ فائرجیل پیکجز deb (Debian، Ubuntu) اور rpm (CentOS، Fedora) فارمیٹس میں تیار کیے جاتے ہیں۔
تنہائی کے لیے، Firejail لینکس پر نام کی جگہ، AppArmor، اور سسٹم کال فلٹرنگ (seccomp-bpf) استعمال کرتا ہے۔ ایک بار شروع ہونے کے بعد، پروگرام اور اس کے تمام چائلڈ پروسیسز کرنل وسائل کے الگ الگ خیالات کا استعمال کرتے ہیں، جیسے کہ نیٹ ورک اسٹیک، پراسیس ٹیبل، اور ماؤنٹ پوائنٹس۔ ایک دوسرے پر منحصر ایپلی کیشنز کو ایک عام سینڈ باکس میں ملایا جا سکتا ہے۔ اگر چاہیں تو فائرجیل کو Docker، LXC اور OpenVZ کنٹینرز چلانے کے لیے بھی استعمال کیا جا سکتا ہے۔
کنٹینر آئسولیشن ٹولز کے برعکس، فائر جیل کنفیگر کرنے کے لیے انتہائی آسان ہے اور اس کے لیے سسٹم امیج کی تیاری کی ضرورت نہیں ہے - کنٹینر کمپوزیشن فلائی پر موجودہ فائل سسٹم کے مواد کی بنیاد پر بنتی ہے اور ایپلیکیشن مکمل ہونے کے بعد اسے حذف کر دیا جاتا ہے۔ فائل سسٹم تک رسائی کے اصول طے کرنے کے لچکدار ذرائع فراہم کیے گئے ہیں؛ آپ اس بات کا تعین کر سکتے ہیں کہ کن فائلوں اور ڈائریکٹریوں کو رسائی کی اجازت ہے یا رسائی سے انکار، ڈیٹا کے لیے عارضی فائل سسٹم (tmpfs) کو جوڑنا، فائلوں یا ڈائریکٹریوں تک رسائی کو محدود کرنا، صرف پڑھنے کے لیے ڈائریکٹریز کو یکجا کرنا۔ bind-mount اور overlayfs.
فائر فاکس، کرومیم، وی ایل سی اور ٹرانسمیشن سمیت مقبول ایپلی کیشنز کی ایک بڑی تعداد کے لیے ریڈی میڈ سسٹم کال آئسولیشن پروفائلز تیار کیے گئے ہیں۔ سینڈ باکسڈ ماحول کو ترتیب دینے کے لیے ضروری مراعات حاصل کرنے کے لیے، فائر جیل ایگزیکیوٹیبل کو SUID روٹ فلیگ کے ساتھ انسٹال کیا جاتا ہے (استحقاق کو شروع کرنے کے بعد دوبارہ ترتیب دیا جاتا ہے)۔ کسی پروگرام کو آئسولیشن موڈ میں چلانے کے لیے، فائرجیل یوٹیلیٹی کی دلیل کے طور پر ایپلیکیشن کا نام واضح کریں، مثال کے طور پر، "firejail firefox" یا "sudo firejail /etc/init.d/nginx start"۔
نئی ریلیز میں:
- سسٹم کالز کے لیے ایک seccomp فلٹر شامل کیا گیا جو کہ نام کی جگہوں کی تخلیق کو روکتا ہے ("-restrict-namespaces" آپشن کو فعال کرنے کے لیے شامل کیا گیا ہے)۔ اپ ڈیٹ کردہ سسٹم کال ٹیبلز اور سیکومپ گروپس۔
- بہتر کردہ فورس-کوئی پرائیوز موڈ (NO_NEW_PRIVS)، جو نئے عمل کو اضافی مراعات حاصل کرنے سے روکتا ہے۔
- آپ کے اپنے AppArmor پروفائلز کو استعمال کرنے کی صلاحیت شامل کی گئی (کنکشن کے لیے "--apparmor" آپشن پیش کیا جاتا ہے)۔
- نیٹٹریس نیٹ ورک ٹریفک ٹریکنگ سسٹم، جو ہر ایڈریس سے آئی پی اور ٹریفک کی شدت کے بارے میں معلومات دکھاتا ہے، آئی سی ایم پی سپورٹ کو لاگو کرتا ہے اور "--dnstrace"، "--icmptrace" اور "--snitrace" کے اختیارات پیش کرتا ہے۔
- --cgroup اور --shell کمانڈز کو ہٹا دیا گیا ہے (پہلے سے طے شدہ --shell=none ہے)۔ فائر ٹنل کی تعمیر بطور ڈیفالٹ روک دی گئی ہے۔ /etc/firejail/firejail.config میں chroot، private-lib اور tracelog کی ترتیبات کو غیر فعال کر دیا گیا ہے۔ grsecurity سپورٹ بند کر دی گئی ہے۔
ماخذ: opennet.ru