Dự án Firejail 0.9.72 đã được phát hành, phát triển một hệ thống thực thi riêng biệt các ứng dụng đồ họa, bảng điều khiển và máy chủ, cho phép giảm thiểu rủi ro xâm phạm hệ thống chính khi chạy các chương trình không đáng tin cậy hoặc có khả năng dễ bị tấn công. Chương trình được viết bằng C, được phân phối theo giấy phép GPLv2 và có thể chạy trên mọi bản phân phối Linux có kernel cũ hơn 3.0. Các gói Firejail làm sẵn được chuẩn bị ở định dạng deb (Debian, Ubuntu) và vòng/phút (CentOS, Fedora).
Để cách ly, Firejail sử dụng các không gian tên, AppArmor và lọc cuộc gọi hệ thống (seccomp-bpf) trên Linux. Sau khi khởi chạy, chương trình và tất cả các tiến trình con của nó sử dụng các chế độ xem riêng biệt về tài nguyên kernel, chẳng hạn như ngăn xếp mạng, bảng quy trình và các điểm gắn kết. Các ứng dụng phụ thuộc lẫn nhau có thể được kết hợp thành một hộp cát chung. Nếu muốn, Firejail cũng có thể được sử dụng để chạy các container Docker, LXC và OpenVZ.
Không giống như các công cụ cách ly vùng chứa, firejail cấu hình cực kỳ đơn giản và không yêu cầu chuẩn bị hình ảnh hệ thống - thành phần vùng chứa được hình thành nhanh chóng dựa trên nội dung của hệ thống tệp hiện tại và bị xóa sau khi ứng dụng hoàn tất. Các phương tiện linh hoạt để thiết lập quy tắc truy cập vào hệ thống tệp được cung cấp; bạn có thể xác định tệp và thư mục nào được phép hoặc từ chối truy cập, kết nối hệ thống tệp tạm thời (tmpfs) cho dữ liệu, giới hạn quyền truy cập vào tệp hoặc thư mục ở chế độ chỉ đọc, kết hợp các thư mục thông qua liên kết gắn kết và lớp phủ.
Đối với một số lượng lớn các ứng dụng phổ biến, bao gồm Firefox, Chrome, VLC và Transmission, các cấu hình cách ly cuộc gọi hệ thống được tạo sẵn đã được chuẩn bị. Để có được các đặc quyền cần thiết nhằm thiết lập môi trường hộp cát, tệp thực thi firejail được cài đặt với cờ gốc SUID (các đặc quyền được đặt lại sau khi khởi tạo). Để chạy một chương trình ở chế độ cách ly, chỉ cần chỉ định tên ứng dụng làm đối số cho tiện ích firejail, ví dụ: “firejail firefox” hoặc “sudo firejail /etc/init.d/nginx start”.
Trong bản phát hành mới:
- Đã thêm bộ lọc seccomp cho các lệnh gọi hệ thống chặn việc tạo không gian tên (tùy chọn “--restrict-namespaces” đã được thêm để bật). Cập nhật bảng lệnh gọi hệ thống và nhóm seccomp.
- Chế độ bắt buộc không có quyền riêng tư được cải tiến (NO_NEW_PRIVS), ngăn các quy trình mới giành được các đặc quyền bổ sung.
- Đã thêm khả năng sử dụng cấu hình AppArmor của riêng bạn (tùy chọn “--apparmor” được cung cấp để kết nối).
- Hệ thống theo dõi lưu lượng truy cập mạng nettrace hiển thị thông tin về IP và cường độ lưu lượng truy cập từ mỗi địa chỉ, triển khai hỗ trợ ICMP và cung cấp các tùy chọn "--dnstrace", "--icmptrace" và "--snitrace".
- Các lệnh --cgroup và --shell đã bị xóa (mặc định là --shell=none). Quá trình xây dựng Firetunnel bị dừng theo mặc định. Đã tắt cài đặt chroot, Private-lib và tracelog trong /etc/firejail/firejail.config. hỗ trợ grsecurity đã bị ngừng.
Nguồn: opennet.ru