在 Firejail 隔離
與容器隔熱工具不同,firejail 極其
對於大量流行的應用程序,包括 Firefox、Chromium、VLC 和 Transmission,現成的
在新版本中:
- 修正了允許惡意進程繞過系統呼叫限制機制的漏洞。 該漏洞的本質是Seccomp過濾器被複製到/run/firejail/mnt目錄中,該目錄在隔離環境中是可寫入的。 以隔離模式運行的惡意進程可以修改這些文件,這將導致在同一環境中運行的新進程在不應用系統呼叫過濾器的情況下執行;
- 記憶體拒絕寫入執行過濾器確保“memfd_create”呼叫被阻止;
- 新增了新選項「private-cwd」來更改監獄的工作目錄;
- 新增了「--nodbus」選項來阻止 D-Bus 套接字;
- 恢復對 CentOS 6 的支援;
-
停產 支援格式的包Flatpak и搶購 .
表明的 這些包應該使用自己的工具; - 新增了新的設定檔以隔離87 個其他程序,包括mypaint、nano、xfce4-mixer、gnome-keyring、redshift、font-manager、gconf-editor、gsettings、freeciv、lincity-ng、openttd、torcs、tremulous、 warsow、 freemind、kid3、freecol、opencity、utox、freeoffice-planmaker、freeoffice-presentations、freeoffice-textmaker、inkview、meteo-qt、ktouch、yelp 和 cantata。
來源: opennet.ru