项目发布 ,其中正在开发一个系统,用于图形、控制台和服务器应用程序的独立执行。 使用 Firejail 可以让您在运行不可信或可能易受攻击的程序时最大限度地降低主系统受到损害的风险。 该程序是用C语言编写的, 根据 GPLv2 许可,可以在任何内核早于 3.0 的 Linux 发行版上运行。 Firejail 准备好的软件包 deb(Debian、Ubuntu)和 rpm(CentOS、Fedora)格式。
在 Firejail 隔离 Linux 中的命名空间、AppArmor 和系统调用过滤 (seccomp-bpf)。 一旦启动,程序及其所有子进程都会使用单独的内核资源视图,例如网络堆栈、进程表和安装点。 相互依赖的应用程序可以组合到一个公共沙箱中。 如果需要,Firejail 还可以用于运行 Docker、LXC 和 OpenVZ 容器。
与容器隔热工具不同,firejail 极其 在配置中,不需要准备系统映像 - 容器组合是根据当前文件系统的内容动态形成的,并在应用程序完成后删除。 提供灵活的方式设置文件系统的访问规则;您可以确定允许或拒绝访问哪些文件和目录、连接数据的临时文件系统(tmpfs)、限制对文件或目录的访问为只读、通过组合目录绑定挂载和overlayfs。
对于大量流行的应用程序,包括 Firefox、Chromium、VLC 和 Transmission,现成的 系统调用隔离。 要在隔离模式下运行程序,只需将应用程序名称指定为 firejail 实用程序的参数,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
在新版本中:
- 修复了允许恶意进程绕过系统调用限制机制的漏洞。 该漏洞的本质是Seccomp过滤器被复制到/run/firejail/mnt目录中,该目录在隔离环境中是可写的。 以隔离模式运行的恶意进程可以修改这些文件,这将导致在同一环境中运行的新进程在不应用系统调用过滤器的情况下被执行;
- 内存拒绝写入执行过滤器确保“memfd_create”调用被阻止;
- 添加了新选项“private-cwd”来更改监狱的工作目录;
- 添加了“--nodbus”选项来阻止 D-Bus 套接字;
- 恢复对 CentOS 6 的支持;
- 支持格式的包 и .
这些包应该使用自己的工具; - 添加了新的配置文件以隔离 87 个其他程序,包括 mypaint、nano、xfce4-mixer、gnome-keyring、redshift、font-manager、gconf-editor、gsettings、freeciv、lincity-ng、openttd、torcs、tremulous、warsow、 freemind、kid3、freecol、opencity、utox、freeoffice-planmaker、freeoffice-presentations、freeoffice-textmaker、inkview、meteo-qt、ktouch、yelp 和 cantata。
来源: opennet.ru