項目發布 ,其中正在開發一個系統,用於圖形、控制台和伺服器應用程式的獨立執行。 使用 Firejail 可讓您在執行不可信或可能易受攻擊的程式時最大限度地降低主系統受到損害的風險。 該程式是用C語言編寫的, 根據 GPLv2 許可,可以在任何核心早於 3.0 的 Linux 發行版上運行。 帶有 Firejail 的現成包 deb(Debian、Ubuntu)和 rpm(CentOS、Fedora)格式。
在 Firejail 隔離 Linux 中的命名空間、AppArmor 和系統呼叫過濾 (seccomp-bpf)。 一旦啟動,程式及其所有子進程都會使用單獨的核心資源視圖,例如網路堆疊、進程表和安裝點。 相互依賴的應用程式可以組合到一個公共沙箱中。 如果需要,Firejail 也可以用於運行 Docker、LXC 和 OpenVZ 容器。
與容器隔熱工具不同,firejail 極其 在配置中,不需要準備系統映像 - 容器組合是根據當前檔案系統的內容動態形成的,並在應用程式完成後刪除。 提供靈活的方式設定檔案系統的存取規則;您可以確定允許或拒絕存取哪些檔案和目錄、連接資料的臨時檔案系統(tmpfs)、限制檔案或目錄的存取為唯讀、透過組合目錄綁定掛載和overlayfs。
對於大量流行的應用程序,包括 Firefox、Chromium、VLC 和 Transmission,現成的 系統呼叫隔離。 要在隔離模式下運行程序,只需將應用程式名稱指定為 firejail 實用程式的參數,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
在新版本中:
- 修正了允許惡意進程繞過系統呼叫限制機制的漏洞。 該漏洞的本質是Seccomp過濾器被複製到/run/firejail/mnt目錄中,該目錄在隔離環境中是可寫入的。 以隔離模式運行的惡意進程可以修改這些文件,這將導致在同一環境中運行的新進程在不應用系統呼叫過濾器的情況下執行;
- 記憶體拒絕寫入執行過濾器確保“memfd_create”呼叫被阻止;
- 新增了新選項「private-cwd」來更改監獄的工作目錄;
- 新增了「--nodbus」選項來阻止 D-Bus 套接字;
- 恢復對 CentOS 6 的支援;
- 支援格式的包 и .
這些包應該使用自己的工具; - 新增了新的設定檔以隔離87 個其他程序,包括mypaint、nano、xfce4-mixer、gnome-keyring、redshift、font-manager、gconf-editor、gsettings、freeciv、lincity-ng、openttd、torcs、tremulous、 warsow、 freemind、kid3、freecol、opencity、utox、freeoffice-planmaker、freeoffice-presentations、freeoffice-textmaker、inkview、meteo-qt、ktouch、yelp 和 cantata。
來源: opennet.ru