經過六個月的開發 項目發布 ,其中正在開發一個系統,用於圖形、控制台和伺服器應用程式的獨立執行。 使用 Firejail 可讓您在執行不可信或可能易受攻擊的程式時最大限度地降低主系統受到損害的風險。 該程式是用C語言編寫的, 根據 GPLv2 許可,可在任何發行版上運行 Linux 核心版本低於 3.0。預先安裝 Firejail 的軟體包 deb 格式(Debian, Ubuntu)和轉速(CentOS(Fedora)。
在 Firejail 隔離 命名空間、AppArmor 和系統呼叫過濾 (seccomp-bpf) Linux程式啟動後,其所有子進程都會使用各自獨立的核心資源,例如網路協定堆疊、進程表和掛載點。相互依賴的應用程式可以組合到一個共享的沙箱環境中。 Firejail 也可用於執行 Docker、LXC 和 OpenVZ 容器。
與容器隔熱工具不同,firejail 極其 在配置中並且不需要準備系統映像 - 容器組合是根據當前 FS 的內容動態形成的,並在應用程式完成後被刪除。提供了靈活的設定檔案系統存取規則的方法;您可以確定哪些檔案和目錄被允許或拒絕訪問,連接臨時檔案系統 (tmpfs) 以取得數據,限制對檔案或目錄的存取為唯讀,透過 bind-mount 和 overlayfs 合併目錄。
對於大量流行的應用程序,包括 Firefox、Chromium、VLC 和 Transmission,現成的 系統呼叫隔離。為了獲得設定沙箱所需的權限,firejail 可執行檔使用 SUID 根標誌進行安裝(初始化後權限將被刪除)。要在隔離模式下運行程序,只需將應用程式名稱指定為 firejail 實用程式的參數,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
在新版本中:
- 在設定檔/etc/firejail/firejail.config中 file-copy-limit 設置,可讓您限制使用「--private-*」選項時將複製到記憶體的檔案大小(預設限制為 500MB)。
- 用於建立新的應用程式限製設定檔的範本已新增至 /usr/share/doc/firejail 目錄。
- 在設定檔中允許使用偵錯器。
- 使用 seccomp 機制改進了系統呼叫的篩選。
- 提供編譯器標誌的自動檢測。
- chroot 呼叫現在使用基於檔案描述符的掛載點而不是基於路徑的掛載點來執行。
- /usr/share 目錄已被列入各種設定檔的白名單。
- 新的說明腳本 gdb-firejail.sh 和 sort.py 已新增至 conrib 部分。
- 加強特權代碼執行階段(SUID)的保護。
- 已為設定檔實作了新的條件標誌 HAS_X11 和 HAS_NET,以檢查是否存在 X 伺服器和網路存取。
- 增加了獨立應用程式啟動的設定檔(設定檔總數增加到 884 個):
- i2p,
- Tor 瀏覽器(AUR),
- 祖利普,
- rsync,
- 訊號-cli,
- tcpdump,
- 沙鯊,
- 地理資訊系統,
- OpenArena,
- 戈多,
- klatexformula,
- klatexformula_cmdl,
- 連結,
- xlinks,
- 潘多克,
- Linux 團隊,
- gnome-錄音機,
- 新聞記者,
- keepassxc-cli,
- keepassxc-代理,
- rhythmbox-客戶端,
- 傑瑞,
- 熱情,
- mpg123,
- 互動,
- mpg123.bin,
- mpg123-alsa,
- mpg123-id3dump,
- 出123,
- mpg123-插孔,
- mpg123-nas,
- mpg123-openal,
- mpg123-oss,
- mpg123-portaudio,
- mpg123-脈衝,
- mpg123-條,
- pavucontrol-qt,
- 侏儒角色,
- gnome 字元映射,
- 鯨鳥,
- tb-啟動器包裝器,
- bzcat,
- kiwix-桌面,
- bzcat,
- zstd,
- pzstd,
- zstdcat,
- zstdgrep,
- zstdless,
- zstdmt,
- 聯合國標準與規範,
- ,
- 侏儒乳膠,
- pngquant,
- 代數,
- kalgebramobile,
- 護身符,
- 找到,
- 專業精神,
- 錄音機,
- 攝影機監視器,
- ddgtk,
- 德拉維奧,
- 聯合國,
- gmpc,
- 電子郵件,
- 要旨
- 要點貼。
來源: opennet.ru
