فايرجيل هو إطار عمل يطور نظامًا للتنفيذ المعزول لتطبيقات الرسوم, وحدة التحكم والخادم. باستخدام Firejail يقلل من مخاطر تعريض النظام للخطر main عند تشغيل برامج غير موثوقة أو يحتمل أن تكون عرضة للإصابة. البرنامج مكتوب بلغة C ، وموزع بموجب ترخيص GPLv2 ويمكنه العمل على أي توزيعة لينكس.
فايرجيل يستخدم مساحات الأسماء و AppArmor وتصفية مكالمات النظام (seccomp-bpf) على Linux للعزل. بمجرد البدء ، يستخدم البرنامج وجميع العمليات التابعة له تمثيلات منفصلة لموارد kernel ، مثل مكدس الشبكة وجدول العملية ونقاط التحميل.
يمكن دمج التطبيقات التابعة في صندوق رمل مشترك. إذا رغبت في ذلك ، يمكن أيضًا استخدام Firejail لبدء حاويات Docker و LXC و OpenVZ.
حول Firejail
على عكس أدوات عزل الحاويات ، يعد تكوين Firejail أمرًا بسيطًا للغاية ولا يتطلب إعداد صورة النظام: يتم تكوين تكوين الحاوية بناءً على محتويات نظام الملفات الحالي وتتم إزالته بعد انتهاء التطبيق.
Se توفير أدوات مرنة لوضع قواعد الوصول إلى نظام الملفات ، يمكنك تحديد الملفات والدلائل التي تم رفض الوصول إليها أو رفضها ، وتوصيل أنظمة الملفات المؤقتة (tmpfs) للبيانات ، وتقييد الوصول للقراءة فقط إلى الملفات أو الدلائل ، والجمع بين الدلائل باستخدام bind-mount و overlayfs.
بالنسبة لعدد كبير من التطبيقات الشائعة ، بما في ذلك Firefox و Chromium و VLC وغيرها ، تم إعداد ملفات تعريف عزل مكالمات النظام الجاهزة.
للحصول على الامتيازات اللازمة لإعداد وضع الحماية ، يتم تثبيت ملف firejail القابل للتنفيذ بعلامة جذر SUID (بعد التهيئة ، تتم إعادة تعيين الامتيازات).
ما الجديد في Firejail 0.9.62؟
في هذا الإصدار الجديد تم تسليط الضوء على أن يأتي مع المزيد من الملفات الشخصية المضافة لبدء تشغيل التطبيق معزولة بحيث يصل العدد الإجمالي للملفات الشخصية إلى 884.
بالإضافة إلى أنه تمت إضافة إعداد حد نسخ الملف إلى ملف التكوين /etc/firejail/firejail.config ، يتيح لك هذا تحديد حجم الملفات التي سيتم نسخها إلى الذاكرة باستخدام خيارات "–خاصة- *" (افتراضيًا ، يتم تعيين الحد على 500 ميجا بايت).
لا يتم الآن استدعاء chroot بناءً على المسار ، ولكنه يستخدم بدلاً من ذلك نقاط التحميل بناءً على واصف الملف.
من التغييرات الأخرى:
- في الملفات الشخصية ، يُسمح بأدوات تصحيح الأخطاء.
- تصفية محسّنة لمكالمات النظام باستخدام آلية seccomp.
- يتم توفير الكشف التلقائي عن أعلام المترجم.
- تمت إضافة دليل / usr / share إلى القائمة البيضاء لمجموعة متنوعة من الملفات الشخصية.
- تمت إضافة البرامج النصية المساعدة الجديدة gdb-firejail.sh و sort.py إلى قسم conrib.
- حماية محسنة في مرحلة تنفيذ التعليمات البرمجية المميزة (SUID).
- بالنسبة لملفات التعريف ، يتم تنفيذ علامات شرطية جديدة HAS_X11 و HAS_NET للتحقق من وجود خادم X والوصول إلى الشبكة.
كيفية تثبيت Firejail على Linux؟
للراغبين في تثبيت Firejail على توزيعة Linux الخاصة بهم ، يمكنهم القيام بذلك باتباع التعليمات التي نشاركها أدناه.
على Debian و Ubuntu ومشتقاته التثبيت بسيط للغاية منذ ذلك الحين يمكنهم تثبيت Firejail من المستودعات من توزيعها أو يمكنهم تنزيل حزم deb المعدة من سورس.
في حالة اختيار التثبيت من المستودعات ، ما عليك سوى فتح Terminal وتنفيذ الأمر التالي:
sudo apt-get install firejail
أو إذا قرروا تنزيل حزم deb ، فيمكنهم التثبيت باستخدام مدير الحزم المفضل لديهم أو من الجهاز الطرفي باستخدام الأمر:
sudo dpkg -i firejail_0.9.62_1*.deb
بينما بالنسبة لحالة Arch Linux ومشتقاته من هذا ، فقط قم بتشغيل:
sudo pacman -S firejail
بالنسبة لحالة Fedora و RHEL و CentOS و OpenSUSE أو أي توزيعة أخرى تدعم حزم rpm يمكنها الحصول على الحزم من الرابط التالي.
ويتم التركيب بواسطة:
sudo rpm -i firejail-0.9.62-1.x86_64.rpm
ترتيب
بمجرد الانتهاء من التثبيت ، سيتعين علينا الآن تكوين sandbox وعلينا أيضًا تمكين AppArmor.
من محطة طرفية ، سنكتب:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
لمعرفة كيفية استخدامها وتكاملها يمكنك الرجوع إلى دليلها في الرابط التالي.