Firejail 0.9.72 stiže sa sigurnosnim poboljšanjima i još mnogo toga

Darkcrizt

4 minuta

firejail_crop

Firejail je SUID program koji smanjuje rizik od narušavanja sigurnosti ograničavanjem okruženja izvršavanja aplikacije

Najavili su pokretanje nova verzija Firejail projekta 0.9.72, koji se razvija sistem za izolovano izvođenje grafičkih aplikacija, konzolu i server, što vam omogućava da minimizirate rizik od kompromitovanja glavnog sistema pokretanjem nepouzdanih ili potencijalno ranjivih programa.

Za izolaciju, Vatrogasni zatvor koristiti imenske prostore, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) na Linuxu. Jednom pokrenut, program i svi njegovi podređeni procesi koriste zasebne prikaze resursa kernela, kao što su mrežni stog, tabela procesa i tačke montiranja.

Aplikacije koje ovise jedna o drugoj mogu se kombinirati u zajednički sandbox. Po želji, Firejail se također može koristiti za pokretanje Docker, LXC i OpenVZ kontejnera.

Mnoge popularne aplikacije, uključujući Firefox, Chromium, VLC i Transmission, imaju unaprijed konfigurirane profile izolacije sistemskih poziva. Da biste stekli potrebne privilegije za postavljanje okruženja u zaštićenom okruženju, Firejail izvršni fajl se instalira sa SUID root promptom (privilegije se resetuju nakon inicijalizacije). Da biste pokrenuli program u izolovanom režimu, jednostavno navedite ime aplikacije kao argument uslužnom programu firejail, na primjer, "firejail firefox" ili "sudo firejail /etc/init.d/nginx start".

Glavne vijesti Firejaila 0.9.72

U ovoj novoj verziji to možemo pronaći dodat seccomp filter sistemskih poziva za blokiranje kreiranja imenskog prostora (dodata opcija “–restrict-namespaces” za omogućavanje). Ažurirane tablice sistemskih poziva i seccomp grupe.

mod je poboljšan force-nonewprivs (NO_NEW_PRIVS) Poboljšava sigurnosne garancije i ima za cilj da spriječi nove procese da dobiju dodatne privilegije.

Još jedna promjena koja se ističe je da je dodana mogućnost korištenja vlastitih AppArmor profila (opcija “–apparmor” se predlaže za vezu).

To takođe možemo pronaći nettrace sistem za praćenje mrežnog saobraćaja, koji prikazuje informacije o IP-u i intenzitetu prometa svake adrese, podržava ICMP i pruža opcije “–dnstrace”, “–icmptrace” i “–snitrace”.

Of the ostale istaknute promjene:

  • Uklonjene su komande –cgroup i –shell (podrazumevano je –shell=none).
  • Izgradnja Firetunnela se podrazumevano zaustavlja.
  • Onemogućena konfiguracija chroot, private-lib i tracelog u /etc/firejail/firejail.config.
  • Uklonjena podrška za grsecurity.
  • modif: uklonjena naredba –cgroup
  • modif: postavi --shell=none kao default
  • modificirati: uklonjeno --shell
  • modif: Firetunnel je po defaultu onemogućen u configure.ac
  • modif: uklonjena podrška za grsecurity
  • modif: prestani sakrivati ​​datoteke sa crne liste u /etc po defaultu
  • staro ponašanje (podrazumevano onemogućeno)
  • ispravka greške: poplava unosa u dnevniku revizije seccomp
  • popravka greške: --netlock ne radi (Greška: nema važećeg sandboxa)

Konačno, za one koji su zainteresirani za program, trebali bi znati da je napisan na C, distribuira se pod GPLv2 licencom i može raditi na bilo kojoj Linux distribuciji. Firejail Ready paketi su pripremljeni u deb formatima (Debian, Ubuntu).

Kako instalirati Firejail na Linux?

Za one koje zanima mogućnost instaliranja Firejaila na njihovu Linux distribuciju, to mogu učiniti slijedeći upute koje delimo u nastavku.

Na Debianu, Ubuntuu i izvedenicama instalacija je prilično jednostavna, jer mogu instalirati Firejail iz spremišta njegove distribucije ili mogu preuzeti pripremljene deb pakete od sljedeći link.

U slučaju odabira instalacije iz spremišta, samo otvorite terminal i izvršite sljedeću naredbu:

sudo apt-get install firejail

Ili ako su odlučili preuzeti deb pakete, mogu ih instalirati s željenim upraviteljem paketa ili s terminala s naredbom:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Dok za slučaj Arch Linuxa i derivata od ovoga, samo pokrenite:

sudo pacman -S firejail

konfiguracija

Nakon što se instalacija završi, sada ćemo morati konfigurirati pješčanik, a također moramo imati omogućen AppArmor.

Iz terminala ćemo otkucati:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Da biste saznali njegovu upotrebu i integraciju, možete potražiti vodič Na sledećem linku.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.