🥇Firejail 0.9.78 אַפּליקאַציע איזאָלאַציע סיסטעם מעלדונג

פייערדזשייל 0.9.78 איז ארויסגעגעבן געווארן. עס אנטוויקלט א סיסטעם פאר אפגעזונדערטע אויספירונג פון גראפישע, קאנסאל, און סערווער אפליקאציעס, מינימיזירנדיג דעם ריזיקע פון קאמפראמיטירן דעם האוסט סיסטעם ווען מען לויפט נישט-פארטרויטע אדער פאטענציעל שוואכע פראגראמען. די פראגראם איז געשריבן אין C, פארשפרייט אונטער דער GPLv2 ליצענץ, און לויפט אויף יעדער פארשפרייטונג. Linux מיט אַ קערנעל עלטער ווי 3.0. גרייטע פּאַקאַדזשאַז מיט Firejail ווערן צוגעגרייט אין deb פֿאָרמאַטן (Debian, Ubuntu) און רפּם (CentOS, פעדאָראַ).

פייערדזשייל ניצט נעים-ספּייסיז, אַפּאַרמאָר, און סיסטעם רוף פֿילטערינג (סעקאָמפּ-בפּף) פֿאַר איזאָלאַציע. Linuxאַמאָל לאָנטשט, נוצן אַ פּראָגראַם און אַלע אירע קינד פּראָצעסן באַזונדערע רעפּרעזענטאַציעס פון קערנעל רעסורסן, אַזאַ ווי די נעץ סטעק, פּראָצעס טאַבעלע, און מאָונט פונקטן. אינטער-אָפּהענגיקע אַפּלאַקיישאַנז קענען זיין קאַמביינד אין אַ איין געטיילט זאַמדקאַסטן. פייערדזשייל קען אויך זיין געניצט צו לויפן דאָקער, LXC, און OpenVZ קאַנטיינערז.

אנדערש ווי קאנטעינער איזאלירונג מכשירים, איז פייערדזשייל גאר פשוט צו קאנפיגורירן און פארלאנגט נישט צו צוגרייטן א סיסטעם בילד—די אינהאלט פונעם קאנטעינער ווערט גענערירט אויפן פלאץ באזירט אויף די אינהאלט פונעם יעצטיגן פייל סיסטעם און ווערט אויסגעמעקט נאכדעם וואס די אפליקאציע ענדיגט זיך. פלעקסיבלע פייל סיסטעם צוטריט רולס ווערן צוגעשטעלט, וואס ערמעגליכט אייך צו דעפינירן וועלכע פיילן און דירעקטאריעס זענען ערלויבט אדער געלייקנט צוטריט, מאונטן צייטווייליגע פייל סיסטעמען (tmpfs) פאר דאטא, באגרענעצן צוטריט צו פיילן אדער דירעקטאריעס צו נאר לייענען, און קאמבינירן דירעקטאריעס ניצנדיג בינד-מאונט און איבערלאף.

פֿאַר אַ גרויס נומער פון פאָלקס אַפּלאַקיישאַנז, אַרייַנגערעכנט פירעפאָקס, קראָומיאַם, וולק און טראַנסמיסיע, פאַרטיק סיסטעם רופן אפגעזונדערטקייט פּראָופיילז זענען צוגעגרייט. צו באַקומען די פּריווילאַדזשאַז נייטיק צו שטעלן אַ זאַמדבאָקסעד סוויווע, די פירעדזשאַיל עקסעקוטאַבלע איז אינסטאַלירן מיט די SUID וואָרצל פאָן (פּריווילאַדזשאַז זענען באַשטעטיק נאָך יניטיאַליזיישאַן). צו לויפן אַ פּראָגראַם אין אפגעזונדערטקייט מאָדע, פשוט ספּעציפיצירן די אַפּלאַקיישאַן נאָמען ווי אַן אַרגומענט צו די פיירדזשאַיל נוצן, למשל, "firejail firefox" אָדער "sudo firejail /etc/init.d/nginx start".

אין די נייַע מעלדונג:

די arg-max-count, arg-max-len, env-max-count, און env-max-len אָפּציעס זענען צוגעגעבן געוואָרן צו דער firejail.config קאָנפיגוראַציע טעקע צו ענדערן די לימיטן אויף דער צאָל און גרייס פון קאָמאַנד-ליניע אָפּציעס און סביבה וועריאַבאַלן. דורך פעליקייַט, די צאָל פון אַרגומענטן איז לימיטעד צו 128, די צאָל פון סביבה וועריאַבאַלן איז לימיטעד צו 256, און די גרייס פון יעדן אַרגומענט איז PATH_MAX פֿון limits.h (אין Linux 40196) + 32.
צוגעגעבן די "--xephyr-extra-params" אָפּציע צו ספּעציפֿיצירן נאָך אָפּציעס צו Xephyr (געניצט צו שאַפֿן X11 זאַמדקאַסטן סביבות מיט זייער אייגענעם X סערווער וואָס לויפֿט אין אַ פֿענצטער) אויף דער קאָמאַנד ליניע אָן צו מאָדיפֿיצירן firejail.config.
די bwrap (bubblewrap) נוצלעכקייט אינסטאלירט אין דער זאַמדקאַסטן סביבה איז געוואָרן ערזעצט מיט דער fbwrap מיטלווער, וואָס לאָנטשט פּראָגראַמען אָן סאַנדבאָקסינג צו סאָלווען פּראָבלעמען מיט Firefox, Thunderbird, און GIMP לאָנטשינג צוליב glycin 2.0.0 וואָס ווערט גערופן פֿון gdk-pixbuf2 ניצנדיק bwrap. די "--allow-bwrap" אָפּציע איז צוגעגעבן געוואָרן צו קאָפּירן bwrap אַנשטאָט די מיטלווער.
דערהייַנטיקט סיסטעם רוף טאַבעלעס פֿאַר seccomp. נײַע סיסטעם רופן, ווי epoll_pwait2 און futex_wait, זענען צוגעגעבן געוואָרן.
די "--disable-globalcfg" בילד אפציע איז אראפגענומען געווארן, און שטיצע פאר overlayfs ("--overlay") און IDS (Intrusion Detection System, "--ids") מאָדוס איז אפגעשטעלט געווארן.
צוגעגעבן איזאָלאַציע פּראָופיילן פֿאַר די ne טעקסט רעדאַקטאָר (טעקסט רעדאַקטאָר), טריוואַלענט בלעטערער, און OpenRA, quakespasm, gzdoom, lzdoom, און uzdoom שפּיל ענדזשינס.
דערהייַנטיקטע פּראָפֿילן פֿאַר טאַנדערבערד, וויין, קווטעבראַוזער, פֿײַערפֿאָקס, גאָדאָט, וווסק, מולװאַד-בראַוזער, בלינק, סטים, ssh, ברייוו און העשקאַט.

מקור: opennet.ru

פייערדזשייל 0.9.78 אַפּליקאַציע איזאָלאַציע מעלדונג