Firejail ilovalarini izolyatsiya qilish tizimining chiqarilishi 0.9.72

Firejail 0.9.72 chiqarildi. U grafik, konsol va server ilovalarini izolyatsiya qilingan holda bajarish uchun tizim ishlab chiqadi, ishonchsiz yoki potentsial zaif dasturlarni ishga tushirishda xost tizimiga putur yetkazish xavfini minimallashtiradi. Dastur C tilida yozilgan, GPLv2 litsenziyasi ostida tarqatiladi va istalgan distributivda ishlaydi. Linux 3.0 dan eski yadro bilan. Firejail bilan tayyor paketlar deb formatlarida tayyorlanadi (Debian, Ubuntu) va rpm (CentOS, Fedora).

Firejail izolyatsiya uchun nomlar maydoni, AppArmor va tizim chaqiruvlarini filtrlash (seccomp-bpf) dan foydalanadi. LinuxIshga tushirilgandan so'ng, dastur va uning barcha bolalar jarayonlari yadro resurslarining alohida ko'rinishlaridan, masalan, tarmoq steki, jarayon jadvali va o'rnatish nuqtalaridan foydalanadi. O'zaro bog'liq ilovalar bitta umumiy sinov muhitiga birlashtirilishi mumkin. Firejail shuningdek, Docker, LXC va OpenVZ konteynerlarini ishga tushirish uchun ham ishlatilishi mumkin.

Konteynerlarni izolyatsiyalash vositalaridan farqli o'laroq, firejailni sozlash juda oddiy va tizim tasvirini tayyorlashni talab qilmaydi - konteyner tarkibi joriy fayl tizimining mazmuni asosida tezda shakllanadi va dastur tugagandan so'ng o'chiriladi. Fayl tizimiga kirish qoidalarini o'rnatishning moslashuvchan vositalari taqdim etiladi; siz qaysi fayl va kataloglarga ruxsat berilgan yoki ruxsat berilmaganligini aniqlashingiz, ma'lumotlar uchun vaqtinchalik fayl tizimlarini (tmpfs) ulashingiz, fayllar yoki kataloglarga kirishni faqat o'qish uchun cheklashingiz, kataloglarni birlashtirishingiz mumkin. bind-mount va overlayfs.

Firefox, Chromium, VLC va Transmission kabi ko'plab mashhur ilovalar uchun tizim qo'ng'iroqlarini izolyatsiya qilish uchun tayyor profillar tayyorlangan. Sandbox muhitini o'rnatish uchun zarur bo'lgan imtiyozlarga ega bo'lish uchun firejail bajariladigan fayl SUID ildiz bayrog'i bilan o'rnatiladi (imtiyozlar ishga tushirilgandan so'ng qayta tiklanadi). Dasturni izolyatsiya rejimida ishga tushirish uchun dastur nomini firejail yordam dasturiga argument sifatida ko'rsatish kifoya, masalan, β€œfirejail firefox” yoki β€œsudo firejail /etc/init.d/nginx start”.

Yangi nashrda:

  • Tizim qoΚ»ngΚ»iroqlari uchun nomlar boΚ»shliqlarini yaratishni bloklaydigan seccomp filtri qoΚ»shildi (yoqish uchun β€œ--cheklash-nomlar” opsiyasi qoΚ»shilgan). Yangilangan tizim qo'ng'iroqlari jadvallari va seccomp guruhlari.
  • Yangi jarayonlarning qo'shimcha imtiyozlarga ega bo'lishiga to'sqinlik qiluvchi takomillashtirilgan force-nonewprivs rejimi (NO_NEW_PRIVS).
  • O'zingizning AppArmor profillaringizdan foydalanish imkoniyati qo'shildi (ulanish uchun "--apparmor" opsiyasi taklif etiladi).
  • Har bir manzildan IP va trafik intensivligi haqidagi ma'lumotlarni aks ettiruvchi nettrace tarmoq trafigini kuzatish tizimi ICMP qo'llab-quvvatlashini amalga oshiradi va "--dnstrace", "--icmptrace" va "--snitrace" opsiyalarini taklif qiladi.
  • --cgroup va --shell buyruqlari o'chirildi (standart --shell=none). Firetunnel qurish sukut bo'yicha to'xtatiladi. /etc/firejail/firejail.config ichida chroot, private-lib va ​​tracelog sozlamalari o'chirilgan. grsecurity yordami to'xtatildi.

Manba: opennet.ru

DDoS himoyasi, VPS VDS serverlari bo'lgan saytlar uchun ishonchli hosting sotib oling πŸ”₯ DDoS himoyasi, VPS VDS serverlari bilan ishonchli veb-sayt xostingini sotib oling | ProHoster