מעלדונג פון Firejail אַפּפּליקאַטיאָן אפגעזונדערטקייט סיסטעם 0.9.72

פייערדזשייל 0.9.72 איז ארויסגעגעבן געווארן. עס אנטוויקלט א סיסטעם פאר אפגעזונדערטע אויספירונג פון גראפישע, קאנסאל, און סערווער אפליקאציעס, מינימיזירנדיג דעם ריזיקע פון ​​קאמפראמיטירן דעם האוסט סיסטעם ווען מען לויפט נישט-פארטרויטע אדער פאטענציעל שוואכע פראגראמען. די פראגראם איז געשריבן אין C, פארשפרייט אונטער דער GPLv2 ליצענץ, און לויפט אויף יעדער פארשפרייטונג. Linux מיט אַ קערנעל עלטער ווי 3.0. גרייטע פּאַקאַדזשאַז מיט Firejail ווערן צוגעגרייט אין deb פֿאָרמאַטן (Debian, Ubuntu) און רפּם (CentOS, פעדאָראַ).

פייערדזשייל ניצט נעים-ספּייסיז, אַפּאַרמאָר, און סיסטעם רוף פֿילטערינג (סעקאָמפּ-בפּף) פֿאַר איזאָלאַציע. Linuxאַמאָל לאָנטשט, נוצן אַ פּראָגראַם און אַלע אירע קינד פּראָצעסן באַזונדערע רעפּרעזענטאַציעס פון קערנעל רעסורסן, אַזאַ ווי די נעץ סטעק, פּראָצעס טאַבעלע, און מאָונט פונקטן. אינטער-אָפּהענגיקע אַפּלאַקיישאַנז קענען זיין קאַמביינד אין אַ איין געטיילט זאַמדקאַסטן. פייערדזשייל קען אויך זיין געניצט צו לויפן דאָקער, LXC, און OpenVZ קאַנטיינערז.

ניט ענלעך מכשירים פֿאַר קאַנטיינער אפגעזונדערטקייט, Firejail איז גאָר פּשוט צו קאַנפיגיער און טוט נישט דאַרפן די צוגרייטונג פון אַ סיסטעם בילד - דער קאַנטיינער זאַץ איז געשאפן אויף די פליען באזירט אויף די אינהאַלט פון די קראַנט טעקע סיסטעם און איז אויסגעמעקט נאָך די אַפּלאַקיישאַן איז געענדיקט. פלעקסאַבאַל מיטל פון באַשטעטיקן אַקסעס כּללים צו די טעקע סיסטעם איר קענען באַשטימען וואָס טעקעס און דיירעקטעריז זענען ערלויבט אָדער געלייקנט אַקסעס, פאַרבינדן צייטווייליגע טעקע סיסטעמען (טמפּפס) פֿאַר דאַטן, באַגרענעצן אַקסעס צו טעקעס אָדער דירעקטעריז צו לייענען-בלויז, פאַרבינדן דיירעקטעריז דורך; בינדן-בארג און אָוווערלייפס.

פֿאַר אַ גרויס נומער פון פאָלקס אַפּלאַקיישאַנז, אַרייַנגערעכנט פירעפאָקס, קראָומיאַם, וולק און טראַנסמיסיע, פאַרטיק סיסטעם רופן אפגעזונדערטקייט פּראָופיילז זענען צוגעגרייט. צו באַקומען די פּריווילאַדזשאַז נייטיק צו שטעלן אַ זאַמדבאָקסעד סוויווע, די פירעדזשאַיל עקסעקוטאַבלע איז אינסטאַלירן מיט די SUID וואָרצל פאָן (פּריווילאַדזשאַז זענען באַשטעטיק נאָך יניטיאַליזיישאַן). צו לויפן אַ פּראָגראַם אין אפגעזונדערטקייט מאָדע, פשוט ספּעציפיצירן די אַפּלאַקיישאַן נאָמען ווי אַן אַרגומענט צו די פיירדזשאַיל נוצן, למשל, "firejail firefox" אָדער "sudo firejail /etc/init.d/nginx start".

אין די נייַע מעלדונג:

• צוגעגעבן אַ סעקאָמפּ פילטער פֿאַר סיסטעם רופט וואָס בלאַקס די שאַפונג פון נאַמעספּאַסעס (די "--restrict-namespaces" אָפּציע איז צוגעגעבן צו געבן). דערהייַנטיקט סיסטעם רופן טישן און סעקאָמפּ גרופּעס.
• ימפּרוווד קראַפט-נאָנעופּריווז מאָדע (NO_NEW_PRIVS), וואָס פּריווענץ נייַע פּראַסעסאַז פון גיינינג נאָך פּריווילאַדזשאַז.
• צוגעלייגט די פיייקייט צו נוצן דיין אייגענע אַפּאַרמאָר פּראָופיילז (די "--אַפּפּאַרמאָר" אָפּציע איז געפֿינט פֿאַר קשר).
• די נעטטראַסע נעץ פאַרקער טראַקינג סיסטעם, וואָס דיספּלייז אינפֿאָרמאַציע וועגן IP און פאַרקער ינטענסיטי פון יעדער אַדרעס, ימפּלאַמאַנץ ICMP שטיצן און אָפפערס די "--dnstrace", "--icmptrace" און "--snitrace" אָפּציעס.
• די --cgroup און --shell קאַמאַנדז זענען אַוועקגענומען (די פעליקייַט איז --shell=none). Firetunnel בויען איז סטאַפּט דורך פעליקייַט. פאַרקריפּלט chroot, private-lib און tracelog סעטטינגס אין /etc/firejail/firejail.config. גרסעקוריטי שטיצן איז דיסקאַנטיניוד.

מקור: opennet.ru