Itusilẹ ti iṣẹ akanṣe Firejail 0.9.72 ti ṣe atẹjade, eyiti o ṣe agbekalẹ eto kan fun ipaniyan ti o ya sọtọ ti ayaworan, console ati awọn ohun elo olupin, gbigba lati dinku eewu ti ibajẹ eto akọkọ nigbati o nṣiṣẹ awọn eto alaigbagbọ tabi ti o le jẹ ipalara. Eto naa ti kọ sinu C, ti o pin labẹ iwe-aṣẹ GPLv2 ati pe o le ṣiṣẹ lori pinpin Linux eyikeyi pẹlu ekuro ti o dagba ju 3.0. Awọn idii Firejail ti o ti ṣetan ti pese sile ni awọn ọna kika deb (Debian, Ubuntu) ati rpm (CentOS, Fedora).
Fun ipinya, Firejail nlo awọn aaye orukọ, AppArmor, ati sisẹ ipe eto (seccomp-bpf) lori Lainos. Ni kete ti ifilọlẹ, eto naa ati gbogbo awọn ilana ọmọ lo awọn iwo lọtọ ti awọn orisun ekuro, gẹgẹbi akopọ nẹtiwọọki, tabili ilana, ati awọn aaye oke. Awọn ohun elo ti o gbẹkẹle ara wọn le ni idapo sinu apoti iyanrin ti o wọpọ kan. Ti o ba fẹ, Firejail tun le ṣee lo lati ṣiṣẹ Docker, LXC ati awọn apoti OpenVZ.
Ko dabi awọn irinṣẹ ipinya eiyan, firejail jẹ irọrun pupọ lati tunto ati pe ko nilo igbaradi ti aworan eto - akopọ eiyan ti ṣẹda lori fo ti o da lori awọn akoonu ti eto faili lọwọlọwọ ati pe o paarẹ lẹhin ti pari ohun elo naa. Awọn ọna irọrun ti ṣeto awọn ofin iwọle si eto faili ti pese; o le pinnu iru awọn faili ati awọn ilana ti o gba laaye tabi kọ iraye si, so awọn ọna ṣiṣe faili igba diẹ (tmpfs) fun data, opin iraye si awọn faili tabi awọn ilana lati ka-nikan, darapọ awọn ilana nipasẹ dè-òke ati overlayfs.
Fun nọmba nla ti awọn ohun elo olokiki, pẹlu Firefox, Chromium, VLC ati Gbigbe, awọn profaili ipinya ipe eto ti a ti ṣetan. Lati gba awọn anfani ti o ṣe pataki lati ṣeto agbegbe ti o ni iyanrin, imuṣiṣẹ ina ti fi sori ẹrọ pẹlu asia root SUID (awọn anfani ni a tunto lẹhin ipilẹṣẹ). Lati ṣiṣẹ eto ni ipo ipinya, nìkan pato orukọ ohun elo bi ariyanjiyan si ohun elo firejail, fun apẹẹrẹ, “firejail firefox” tabi “sudo firejail /etc/init.d/nginx start”.
Ninu itusilẹ tuntun:
- Ṣafikun àlẹmọ seccomp fun awọn ipe eto ti o ṣe idiwọ ṣiṣẹda awọn aaye orukọ (aṣayan “--restrict-namespaces” ti ṣafikun lati mu ṣiṣẹ). Awọn tabili ipe eto imudojuiwọn ati awọn ẹgbẹ seccomp.
- Imudara agbara-noewprivs (NO_NEW_PRIVS), eyiti o ṣe idiwọ awọn ilana tuntun lati ni awọn anfani afikun.
- Ṣe afikun agbara lati lo awọn profaili AppArmor tirẹ (aṣayan “--apparmor” ni a funni fun asopọ).
- Eto ipasẹ nẹtiwọọki netirace, eyiti o ṣafihan alaye nipa IP ati kikankikan ijabọ lati adirẹsi kọọkan, ṣe atilẹyin ICMP ati funni ni awọn aṣayan “--dnstrace”, “--icmptrace” ati “--snitrace”.
- Awọn aṣẹ --cgroup ati --shell ti yọkuro (aiyipada jẹ --shell=ko si). Kọ Firetunnel duro nipasẹ aiyipada. Chroot alaabo, ikọkọ-lib ati awọn eto tracelog ni /etc/firejail/firejail.config. atilẹyin grsecurity ti dawọ duro.
orisun: opennet.ru