Firejail 0.9.62 應用隔離發布

經過六個月的開發 有空 項目發布 火獄 0.9.62，其中正在開發一個系統，用於圖形、控制台和伺服器應用程式的獨立執行。 使用 Firejail 可讓您在執行不可信或可能易受攻擊的程式時最大限度地降低主系統受到損害的風險。 該程式是用C語言編寫的， 分發者 根據 GPLv2 許可，可以在任何核心早於 3.0 的 Linux 發行版上運行。 帶有 Firejail 的現成包 準備好了 deb（Debian、Ubuntu）和 rpm（CentOS、Fedora）格式。

在 Firejail 隔離 被使用 пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.

與容器隔熱工具不同，firejail 極其 易 в конфигурации и не требует подготовки системного образа — состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

對於大量流行的應用程序，包括 Firefox、Chromium、VLC 和 Transmission，現成的 型材 изоляции системных вызовов. Для получения привилегий, необходимых для настройки изолированного окружения, исполняемый файл firejail устанавливается с флагом SUID root (после инициализации привилегии сбрасываются). Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».

在新版本中：

• В файл конфигурации /etc/firejail/firejail.config 添加 настройка file-copy-limit, позволяющая ограничить размер файлов, которые будут скопированы в память при использовании опций «—private-*» (по умолчанию ограничение выставлено в 500MB).
• В каталог /usr/share/doc/firejail добавлены шаблоны для создания новых профилей ограничения приложений.
• В профилях разрешено использование отладчиков.
• Улучшена фильтрация системных вызовов при помощи механизма seccomp.
• Обеспечено автоопределение флагов компилятора.
• Вызов chroot теперь выполняется не на основе пути, а используя точки монтирования на базе файлового дескриптора.
• Каталог /usr/share помещён в белый список разнообразных профилей.
• В секцию conrib добавлены новые вспомогательные скрипты gdb-firejail.sh и sort.py.
• Усилена защита на стадии выполнения привилегированного кода (SUID).
• Для профилей реализованы новые условные признаки HAS_X11 и HAS_NET для проверки наличия X-сервера и сетевого доступа.
• Добавлены профили для изолированного запуска приложений (общее число профилей доведено до 884):
  • i2p,
  • tor-browser (AUR),
  • Zulip,
  • rsync,
  • signal-cli,
  • TCP轉儲，
  • tshark,
  • qgis,
  • 開放競技場，
  • godot,
  • klatexformula,
  • klatexformula_cmdl,
  • 連結，
  • xlinks,
  • pandoc,
  • teams-for-linux,
  • gnome-sound-recorder,
  • newsbeuter,
  • keepassxc-cli,
  • keepassxc-proxy,
  • rhythmbox-client,
  • jerry,
  • zeal,
  • mpg123,
  • conplay,
  • mpg123.bin,
  • mpg123-alsa,
  • mpg123-id3dump,
  • out123,
  • mpg123-jack,
  • mpg123-nas,
  • mpg123-openal,
  • mpg123-oss,
  • mpg123-portaudio,
  • mpg123-pulse,
  • mpg123-strip,
  • pavucontrol-qt,
  • gnome-characters,
  • gnome-character-map,
  • Whalebird,
  • tb-starter-wrapper,
  • bzcat,
  • kiwix-desktop,
  • bzcat,
  • zstd,
  • pzstd,
  • zstdcat,
  • zstdgrep,
  • zstdless,
  • zstdmt,
  • unzstd,
  • ,
  • gnome-latex,
  • pngquant,
  • kalgebra,
  • kalgebramobile,
  • amuled,
  • kfind,
  • 褻瀆，
  • audio-recorder,
  • cameramonitor,
  • ddgtk,
  • drawio,
  • unf,
  • gmpc,
  • electron-mail,
  • gist,
  • gist-paste.

來源： opennet.ru