经过六个月的开发 项目发布 ,其中正在开发一个系统,用于图形、控制台和服务器应用程序的独立执行。 使用 Firejail 可以让您在运行不可信或可能易受攻击的程序时最大限度地降低主系统受到损害的风险。 该程序是用C语言编写的, 根据 GPLv2 许可,可以在任何内核早于 3.0 的 Linux 发行版上运行。 Firejail 准备好的软件包 deb(Debian、Ubuntu)和 rpm(CentOS、Fedora)格式。
在 Firejail 隔离 Linux 中的命名空间、AppArmor 和系统调用过滤 (seccomp-bpf)。 一旦启动,程序及其所有子进程都会使用单独的内核资源视图,例如网络堆栈、进程表和安装点。 相互依赖的应用程序可以组合到一个公共沙箱中。 如果需要,Firejail 还可以用于运行 Docker、LXC 和 OpenVZ 容器。
与容器隔热工具不同,firejail 极其 在配置中,不需要准备系统映像 - 容器组合是根据当前文件系统的内容动态形成的,并在应用程序完成后删除。 提供灵活的方式设置文件系统的访问规则;您可以确定允许或拒绝访问哪些文件和目录、连接数据的临时文件系统(tmpfs)、限制对文件或目录的访问为只读、通过组合目录绑定挂载和overlayfs。
对于大量流行的应用程序,包括 Firefox、Chromium、VLC 和 Transmission,现成的 系统调用隔离。 为了获得设置沙盒环境所需的权限,需要使用 SUID root 标志安装 firejail 可执行文件(初始化后会重置权限)。 要在隔离模式下运行程序,只需将应用程序名称指定为 firejail 实用程序的参数,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
在新版本中:
- 在配置文件/etc/firejail/firejail.config中 file-copy-limit 设置,允许您在使用“--private-*”选项时限制复制到内存中的文件的大小(默认情况下限制设置为 500MB)。
- 用于创建新应用程序限制配置文件的模板已添加到 /usr/share/doc/firejail 目录中。
- 配置文件允许使用调试器。
- 使用 seccomp 机制改进了系统调用的过滤。
- 提供编译器标志的自动检测。
- chroot 调用不再基于路径进行,而是使用基于文件描述符的挂载点。
- /usr/share 目录已被各种配置文件列入白名单。
- 新的帮助程序脚本 gdb-firejail.sh 和 sort.py 已添加到 conrib 部分。
- 加强特权代码(SUID)执行阶段的保护。
- 对于配置文件,已实现新的条件属性 HAS_X11 和 HAS_NET 来检查 X 服务器和网络访问是否存在。
- 添加了用于隔离应用程序启动的配置文件(配置文件总数增加到 884 个):
- i2p,
- Tor 浏览器 (AUR),
- 祖利普,
- 同步
- 信号-cli
- tcp转储
- 沙克,
- 地理信息系统
- 开放竞技场,
- 戈多,
- klatex公式,
- klatexformula_cmdl,
- 链接,
- 链接,
- 潘多克
- Linux 团队,
- 侏儒录音机,
- 新闻报道,
- keepassxc-cli,
- keepassxc-代理,
- 节奏盒客户端,
- 杰瑞
- 热情,
- 英里/加仑123,
- 比赛,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- 输出123,
- mpg123-插孔,
- mpg123-nas,
- mpg123-开放,
- mpg123-oss,
- mpg123-portaudio,
- mpg123 脉冲,
- mpg123-条,
- pavucontrol-qt,
- 侏儒角色,
- 侏儒角色地图,
- 鲸鸟
- tb-启动器-包装器,
- 猫猫,
- kiwix 桌面,
- 猫猫,
- 兹标准,
- pzstd,
- zstdcat,
- zstdgrep,
- 无标准,
- 兹斯特德姆特,
- unzstd,
- 啊,
- 侏儒乳胶,
- 庞克量化
- 卡代数
- 卡尔格布拉移动,
- 阿穆莱德
- 找到,
- 亵渎
- 录音机,
- 相机监视器
- DDGTK
- 绘图,
- 联合国,
- GMPC,
- 电子邮件,
- 要旨
- 要点粘贴。
来源: opennet.ru