ProHoster > Blog > internet yangiliklari > Firejail ilovalarini izolyatsiya qilish tizimining chiqarilishi 0.9.62

Firejail ilovalarini izolyatsiya qilish tizimining chiqarilishi 0.9.62

Olti oylik rivojlanishdan keyin mavjud loyiha chiqarilishi Firejail 0.9.62, uning doirasida grafik, konsol va server ilovalarini izolyatsiya qilingan holda bajarish uchun tizim ishlab chiqilmoqda. Firejail-dan foydalanish ishonchsiz yoki potentsial zaif dasturlarni ishga tushirishda asosiy tizimni buzish xavfini minimallashtirishga imkon beradi. Dastur C tilida yozilgan, tarqaladi GPLv2 ostida litsenziyalangan va yadrosi 3.0 dan katta bo'lgan har qanday Linux distributivida ishlashi mumkin. Firejail bilan tayyor paketlar tayyorlangan deb (Debian, Ubuntu) va rpm (CentOS, Fedora) formatlarida.

Firejailda izolyatsiya qilish uchun ishlatiladi Linuxda nom maydonlari, AppArmor va tizim chaqiruvlarini filtrlash (seccomp-bpf). Ishga tushgandan so'ng, dastur va uning barcha asosiy jarayonlari yadro resurslarining alohida ko'rinishlaridan foydalanadi, masalan, tarmoq stegi, jarayonlar jadvali va o'rnatish nuqtalari. Bog'liq ilovalar bitta umumiy sinov muhitiga birlashtirilishi mumkin. Firejail-dan Docker, LXC va OpenVZ konteynerlarini ishga tushirish uchun ham foydalanish mumkin.

Konteyner izolyatsiyalash vositalaridan farqli o'laroq, o't o'chiruvchisi juda katta oddiy Konfiguratsiya tizim tasvirini tayyorlashni talab qilmaydi - konteyner tarkibi joriy fayl tizimining mazmuni asosida tezda yaratiladi va dastur tugagandan so'ng o'chiriladi. Qaysi fayl va kataloglarga ruxsat berilgan yoki ruxsat berilmaganligini aniqlash, maʼlumotlar uchun vaqtinchalik fayl tizimlarini (tmpfs) oʻrnatish, fayllar yoki kataloglarga kirishni faqat oʻqish uchun cheklash hamda bind-mount va overlayflar yordamida kataloglarni birlashtirish imkonini beruvchi moslashuvchan fayl tizimiga kirish qoidalari taqdim etilgan.

Ko'p sonli mashhur ilovalar, jumladan Firefox, Chromium, VLC va Transmission uchun tayyor profillar Tizim qo'ng'iroqlarini izolyatsiya qilish. Izolyatsiya qilingan muhitni o'rnatish uchun zarur bo'lgan imtiyozlarga ega bo'lish uchun firejail bajariladigan fayl SUID ildiz bayrog'i bilan o'rnatiladi (imtiyozlar ishga tushirilgandan so'ng qayta tiklanadi). Dasturni izolyatsiya rejimida ishga tushirish uchun dastur nomini firejail yordam dasturiga argument sifatida ko'rsatish kifoya, masalan, "firejail firefox" yoki "sudo firejail /etc/init.d/nginx start."

Yangi nashrda:

  • Konfiguratsiya faylida /etc/firejail/firejail.config qo'shildi "--private-*" opsiyalaridan foydalanganda xotiraga ko'chiriladigan fayllar hajmini cheklash imkonini beruvchi fayldan nusxa ko'chirish chegarasi sozlamalari (standart chegara 500 MB).
  • Yangi ilovalarni cheklash profillarini yaratish uchun andozalar /usr/share/doc/firejail katalogiga qo'shildi.
  • Profillarda tuzatuvchiga ruxsat beriladi.
  • Seccomp mexanizmi yordamida tizim chaqiruvlarini filtrlash yaxshilandi.
  • Kompilyator bayroqlarini avtomatik aniqlash ta'minlanadi.
  • Endi chroot chaqiruvi yo'lga asoslangan emas, balki fayl deskriptoriga asoslangan ulanish nuqtalari yordamida amalga oshiriladi.
  • /usr/share katalogi turli profillar uchun oq ro'yxatga kiritilgan.
  • Conrib bo'limiga yangi yordamchi skriptlar gdb-firejail.sh va sort.py qo'shildi.
  • Imtiyozli kodni bajarish bosqichida (SUID) mustahkamlangan himoya.
  • X-server va tarmoqqa kirish mavjudligini tekshirish uchun profillar uchun yangi shartli HAS_X11 va HAS_NET funksiyalari joriy etildi.
  • Izolyatsiya qilingan ilovalarni ishga tushirish uchun qo'shilgan profillar (profillarning umumiy soni 884 taga ko'paytirildi):
    • i2p,
    • tor-brauzer (AUR),
    • Zulip,
    • rsync,
    • signal-cli,
    • tcpdump,
    • tshark,
    • qgis,
    • OpenArena,
    • xudo,
    • klateks formulasi,
    • klatexformula_cmdl,
    • havolalar,
    • xlinks,
    • pandok,
    • Linux uchun jamoalar,
    • gnome ovoz yozuvchisi,
    • newsbeuter,
    • keepassxc-cli,
    • keepassxc-proksi,
    • ritm qutisi mijozi,
    • Jerri,
    • g'ayrat,
    • mpg123,
    • o'ynash,
    • mpg123.bin,
    • mpg123-alsa,
    • mpg123-id3dump,
    • 123 tashqari,
    • mpg123-jak,
    • mpg123-nas,
    • mpg123-ochiq,
    • mpg123-oss,
    • mpg123-portaudio,
    • mpg123-puls,
    • mpg123-tasma,
    • pavucontrol-qt,
    • gnom-belgilar,
    • gnom-belgi-xaritasi,
    • kit qushi,
    • tb-boshlovchi-o'rash,
    • bzcat,
    • kiwix-ish stoli,
    • bzcat,
    • zstd,
    • pzstd,
    • zstdcat,
    • zstdgrep,
    • zstdless,
    • zstdmt,
    • unzstd,
    • ar
    • gnom-lateks,
    • pngquant,
    • kalgebra,
    • kalgebramobil,
    • amuled,
    • toping,
    • uyat,
    • audio yozuvchisi,
    • kamera monitori,
    • ddgtk,
    • Draio,
    • unf,
    • gmpc,
    • elektron pochta,
    • mazmuni,
    • gist-pasta.

Manba: opennet.ru

a Izoh qo'shish