在 Firejail 隔离
与容器隔热工具不同,firejail 极其
对于大量流行的应用程序,包括 Firefox、Chromium、VLC 和 Transmission,现成的
在新版本中:
- 修复了允许恶意进程绕过系统调用限制机制的漏洞。 该漏洞的本质是Seccomp过滤器被复制到/run/firejail/mnt目录中,该目录在隔离环境中是可写的。 以隔离模式运行的恶意进程可以修改这些文件,这将导致在同一环境中运行的新进程在不应用系统调用过滤器的情况下被执行;
- 内存拒绝写入执行过滤器确保“memfd_create”调用被阻止;
- 添加了新选项“private-cwd”来更改监狱的工作目录;
- 添加了“--nodbus”选项来阻止 D-Bus 套接字;
- 恢复对 CentOS 6 的支持;
-
停产 支持格式的包Flatpak и抢购 .
表明的 这些包应该使用自己的工具; - 添加了新的配置文件以隔离 87 个其他程序,包括 mypaint、nano、xfce4-mixer、gnome-keyring、redshift、font-manager、gconf-editor、gsettings、freeciv、lincity-ng、openttd、torcs、tremulous、warsow、 freemind、kid3、freecol、opencity、utox、freeoffice-planmaker、freeoffice-presentations、freeoffice-textmaker、inkview、meteo-qt、ktouch、yelp 和 cantata。
来源: opennet.ru