منصوبے کی رہائی ، جس کے اندر گرافیکل، کنسول اور سرور ایپلی کیشنز کے الگ تھلگ عمل درآمد کے لیے ایک نظام تیار کیا جا رہا ہے۔ فائرجیل کا استعمال آپ کو ناقابل اعتماد یا ممکنہ طور پر کمزور پروگرام چلاتے وقت مین سسٹم سے سمجھوتہ کرنے کے خطرے کو کم کرنے کی اجازت دیتا ہے۔ پروگرام سی زبان میں لکھا گیا ہے، GPLv2 کے تحت لائسنس یافتہ اور 3.0 سے پرانے دانا کے ساتھ کسی بھی لینکس ڈسٹری بیوشن پر چل سکتا ہے۔ Firejail کے ساتھ تیار پیکجز deb (Debian، Ubuntu) اور rpm (CentOS، Fedora) فارمیٹس میں۔
فائر جیل میں تنہائی کے لیے لینکس میں نام کی جگہیں، ایپ آرمر، اور سسٹم کال فلٹرنگ (seccomp-bpf)۔ ایک بار شروع ہونے کے بعد، پروگرام اور اس کے تمام چائلڈ پروسیسز کرنل وسائل کے الگ الگ خیالات کا استعمال کرتے ہیں، جیسے کہ نیٹ ورک اسٹیک، پراسیس ٹیبل، اور ماؤنٹ پوائنٹس۔ ایک دوسرے پر منحصر ایپلی کیشنز کو ایک عام سینڈ باکس میں ملایا جا سکتا ہے۔ اگر چاہیں تو فائرجیل کو Docker، LXC اور OpenVZ کنٹینرز چلانے کے لیے بھی استعمال کیا جا سکتا ہے۔
کنٹینر موصلیت کے اوزار کے برعکس، فائر جیل انتہائی ہے کنفیگریشن میں ہے اور سسٹم امیج کی تیاری کی ضرورت نہیں ہے - کنٹینر کمپوزیشن فلائی پر موجودہ فائل سسٹم کے مواد کی بنیاد پر بنتی ہے اور ایپلیکیشن مکمل ہونے کے بعد ڈیلیٹ کردی جاتی ہے۔ فائل سسٹم تک رسائی کے اصول طے کرنے کے لچکدار ذرائع فراہم کیے گئے ہیں؛ آپ اس بات کا تعین کر سکتے ہیں کہ کن فائلوں اور ڈائریکٹریوں کو رسائی کی اجازت ہے یا رسائی سے انکار، ڈیٹا کے لیے عارضی فائل سسٹم (tmpfs) کو جوڑنا، فائلوں یا ڈائریکٹریوں تک رسائی کو محدود کرنا، صرف پڑھنے کے لیے ڈائریکٹریز کو یکجا کرنا۔ bind-mount اور overlayfs.
مشہور ایپلی کیشنز کی ایک بڑی تعداد کے لیے، بشمول Firefox، Chromium، VLC اور ٹرانسمیشن، ریڈی میڈ نظام کال تنہائی. کسی پروگرام کو آئسولیشن موڈ میں چلانے کے لیے، فائرجیل یوٹیلیٹی کی دلیل کے طور پر ایپلیکیشن کا نام واضح کریں، مثال کے طور پر، "firejail firefox" یا "sudo firejail /etc/init.d/nginx start"۔
نئی ریلیز میں:
- ایک کمزوری جو ایک بدنیتی پر مبنی عمل کو سسٹم کال کی پابندی کے طریقہ کار کو نظرانداز کرنے کی اجازت دیتی ہے۔ کمزوری کا جوہر یہ ہے کہ Seccomp فلٹرز کو /run/firejail/mnt ڈائریکٹری میں کاپی کیا جاتا ہے، جو الگ تھلگ ماحول میں قابل تحریر ہے۔ آئسولیشن موڈ میں چلنے والے نقصان دہ عمل ان فائلوں میں ترمیم کر سکتے ہیں، جس کی وجہ سے سسٹم کال فلٹر کو لاگو کیے بغیر ایک ہی ماحول میں چلنے والے نئے عمل کو انجام دیا جائے گا۔
- میموری-ڈنائی-رائٹ-ایکزیکیوٹ فلٹر اس بات کو یقینی بناتا ہے کہ "memfd_create" کال بلاک ہے۔
- جیل کے لیے ورکنگ ڈائرکٹری کو تبدیل کرنے کے لیے نیا آپشن "private-cwd" شامل کیا گیا۔
- D-Bus ساکٹ کو بلاک کرنے کے لیے "-nodbus" آپشن شامل کیا گیا۔
- CentOS 6 کے لیے واپسی کی حمایت؛
- فارمیٹس میں پیکجوں کے لیے سپورٹ и .
کہ ان پیکجوں کو اپنی ٹولنگ کا استعمال کرنا چاہیے۔ - 87 اضافی پروگراموں کو الگ کرنے کے لیے نئے پروفائلز شامل کیے گئے ہیں، جن میں mypaint، nano، xfce4-mixer، gnome-keyring، redshift، font-manager، gconf-editor، gsettings، freeciv، lincity-ng، openttd، torcs، tremulous، warsow، freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp اور cantata۔
ماخذ: opennet.ru