Vatrogasni zatvor je okvir koji razvija sistem za izolirano izvršavanje grafičkih aplikacija, konzola i server. Korištenje Firejaila minimalizira rizik od ugrožavanja sistema glavni kada se izvode nepouzdani ili potencijalno ranjivi programi. Program je napisan na C jeziku, distribuira se pod GPLv2 licencom i može raditi na bilo kojoj Linux distribuciji.
Vatrogasni zatvor koristi prostore imena, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) na Linuxu radi izolacije. Jednom pokrenuti, program i svi njegovi podređeni procesi koriste odvojene reprezentacije resursa jezgre, kao što su mrežni stek, tablica procesa i točke montiranja.
Zavisne aplikacije mogu se kombinirati u zajedničkom pješčaniku. Po želji se Firejail može koristiti i za pokretanje Dockera, LXC i OpenVZ kontejnera.
O Firejailu
Za razliku od alata za izolaciju kontejnera, Firejail je izuzetno jednostavan za konfiguriranje i ne zahtijeva pripremu sistemske slike: sastav spremnika formira se na osnovu sadržaja trenutnog sistema datoteka i uklanja nakon završetka aplikacije.
Se pružiti fleksibilne alate za postavljanje pravila pristupa sistemu datoteka, Možete utvrditi kojim datotekama i direktorijima je pristup odbijen ili odbijen, povezati privremene sisteme datoteka (tmpfs) za podatke, ograničiti pristup samo za čitanje datotekama ili direktorijima, kombinirati direktorije pomoću povezivanja i prekrivanja.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC, između ostalog, pripremljeni su izolacijski profili sistemskih poziva.
Da bi se stekle potrebne privilegije za postavljanje pješčanika, izvršna datoteka firejail instalira se s matičnom zastavicom SUID (nakon inicijalizacije privilegije se resetiraju).
Što je novo u Firejailu 0.9.62?
U ovoj novoj verziji je istaknuto da dolazi s više dodanih profila za pokretanje aplikacije izolirani s kojima ukupan broj profila doseže do 884.
Osim toga postavka ograničenja kopiranja datoteke dodana je u datoteku config /etc/firejail/firejail.config, To vam omogućava da ograničite veličinu datoteka koje će se kopirati u memoriju pomoću opcija „–private- *“ (prema zadanim postavkama ograničenje je postavljeno na 500 MB).
Poziv chroot sada se ne temelji na putanji, već koristi točke montiranja na temelju deskriptora datoteke.
Od ostalih promjena:
- U profilima su dozvoljeni otklanjači pogrešaka.
- Poboljšano filtriranje sistemskih poziva korištenjem seccomp mehanizma.
- Omogućeno je automatsko otkrivanje zastavica kompajlera.
- Direktorij / usr / share nalazi se na bijeloj listi za razne profile.
- Nove pomoćne skripte gdb-firejail.sh i sort.py dodane su u odjeljak conrib.
- Poboljšana zaštita u privilegiranoj fazi izvršenja koda (SUID).
- Za profile su implementirani novi uvjetni znakovi HAS_X11 i HAS_NET da bi se potvrdilo prisustvo X servera i pristup mreži.
Kako instalirati Firejail na Linux?
Za one koje zanima mogućnost instaliranja Firejaila na njihovu Linux distribuciju, to mogu učiniti slijedeći upute koje delimo u nastavku.
Na Debianu, Ubuntuu i izvedenicama instalacija je vrlo jednostavna mogu instalirati Firejail iz spremišta njegove distribucije ili mogu preuzeti pripremljene deb pakete od sourceforge.
U slučaju odabira instalacije iz spremišta, samo otvorite terminal i izvršite sljedeću naredbu:
sudo apt-get install firejail
Ili ako su odlučili preuzeti deb pakete, mogu ih instalirati s željenim upraviteljem paketa ili s terminala s naredbom:
sudo dpkg -i firejail_0.9.62_1*.deb
Dok za slučaj Arch Linuxa i derivata od ovoga, samo pokrenite:
sudo pacman -S firejail
Za slučaj Fedore, RHEL, CentOS, OpenSUSE ili bilo koji drugi distro s podrškom za rpm pakete može dobiti pakete iz sljedeći link.
A instalacija se izvodi sa:
sudo rpm -i firejail-0.9.62-1.x86_64.rpm
konfiguracija
Nakon što se instalacija završi, sada ćemo morati konfigurirati pješčanik, a također moramo imati omogućen AppArmor.
Iz terminala ćemo otkucati:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Da biste saznali njegovu upotrebu i integraciju, možete potražiti vodič Na sledećem linku.