Firejail 0.9.72 項目的版本已經發布,它開發了一個用於獨立執行圖形、控制台和服務器應用程序的系統,可以在運行不可信或可能存在漏洞的程序時最大限度地降低危及主系統的風險。 該程序是用 C 語言編寫的,在 GPLv2 許可下分發,可以在內核早於 3.0 的任何 Linux 發行版上運行。 Firejail 的現成包以 deb(Debian、Ubuntu)和 rpm(CentOS、Fedora)格式準備。
為了隔離,Firejail 在 Linux 中使用命名空間(namespaces)、AppArmor 和系統調用過濾(seccomp-bpf)。 一旦啟動,該程序及其所有子進程使用單獨的內核資源表示,例如網絡堆棧、進程表和掛載點。 相互依賴的應用程序可以合併到一個公共沙箱中。 如果需要,Firejail 也可用於運行 Docker、LXC 和 OpenVZ 容器。
與容器隔離工具不同,firejail 配置極其簡單,不需要準備系統映像——容器的組成是根據當前文件系統的內容動態形成的,並在應用程序終止後被刪除。 提供靈活的工具來設置文件系統訪問規則,您可以確定允許或拒絕訪問哪些文件和目錄,為數據連接臨時文件系統 (tmpfs),將對文件或目錄的訪問限制為只讀,通過綁定掛載合併目錄和覆蓋層。
大量流行的應用程序,包括 Firefox、Chromium、VLC 和 Transmission,都預配置了系統調用隔離配置文件。 為了獲得設置沙箱環境所需的權限,firejail 可執行文件安裝時帶有 SUID root 標誌(權限在初始化後重置)。 要以隔離模式執行程序,只需將應用程序的名稱指定為 firejail 實用程序的參數即可,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
在新版本中:
- 添加了 seccomp 系統調用過濾器以阻止名稱空間創建(添加了“--restrict-namespaces”選項以啟用)。 更新了系統調用表和 seccomp 組。
- 改進了 force-nonewprivs (NO_NEW_PRIVS) 模式以防止新進程獲得額外的特權。
- 添加了使用您自己的 AppArmor 配置文件的功能(為連接提供了“--apparmor”選項)。
- nettrace 網絡流量跟踪系統顯示每個地址的 IP 和流量強度信息,支持 ICMP 並提供“-dnstrace”、“--icmptrace”和“--snitrace”選項。
- 刪除了 --cgroup 和 --shell 命令(默認為 --shell=none)。 Firetunnel 構建默認停止。 在 /etc/firejail/firejail.config 中禁用 chroot、private-lib 和 tracelog 設置。 刪除了對 grsecurity 的支持。
來源: opennet.ru