phát hành dự án , trong đó một hệ thống đang được phát triển để thực thi riêng biệt các ứng dụng đồ họa, bảng điều khiển và máy chủ. Sử dụng Firejail cho phép bạn giảm thiểu rủi ro xâm phạm hệ thống chính khi chạy các chương trình không đáng tin cậy hoặc có khả năng dễ bị tấn công. Chương trình được viết bằng ngôn ngữ C, được cấp phép theo GPLv2 và có thể chạy trên mọi bản phân phối Linux có kernel cũ hơn 3.0. Các gói làm sẵn với Firejail ở định dạng deb (Debian, Ubuntu) và vòng/phút (CentOS, Fedora).
Để cách ly trong Firejail пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
Không giống như các công cụ cách nhiệt container, firejail cực kỳ hiệu quả. в конфигурации и не требует подготовки системного образа — состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Dành cho số lượng lớn các ứng dụng phổ biến, bao gồm Firefox, Chrome, VLC và Transmission, được tạo sẵn изоляции системных вызовов. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».
Trong bản phát hành mới:
- Устранена уязвимость, позволяющая вредоносному процессу обойти механизм ограничения системных вызовов. Суть уязвимость в том, что фильтры Seccomp копируются в каталог /run/firejail/mnt, доступный на запись внутри изолированного окружения. Запускаемые в режиме изоляции вредоносные процессы могут изменить эти файлы, что приведёт к тому, что новые процессы, запущенные в этом же окружении, будут выполнены без применения фильтра системных вызовов;
- В фильтре memory-deny-write-execute обеспечена блокировка вызова «memfd_create»;
- Добавлена новая опция «private-cwd» для изменения рабочего каталога для jail;
- Добавлена опция «—nodbus» для блокировки сокетов D-Bus;
- Возвращена поддержка CentOS 6;
- поддержка пакетов в форматах и .
, что для данных пакетов следует использовать их собственный инструментарий; - Добавлены новые профили для изоляции 87 дополнительных программ, в числе которых mypaint, nano, xfce4-mixer, gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd, torcs, tremulous, warsow, freemind, kid3, freecol, opencity, utox, freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker, inkview, meteo-qt, ktouch, yelp и cantata.
Nguồn: opennet.ru