Firejail 0.9.72 arriba amb millores de seguretat i més

Darkcrizt

4 minuts

firejail_crop

Firejail és un programa SUID que redueix el risc d'infraccions de seguretat en restringir l'entorn d'execució d'aplicacions

Es va donar a conèixer el llançament de la nova versió del projecte Firejail 0.9.72, Que desenvolupa un sistema per a l'execució aïllada d'aplicacions gràfiques, de consola i de servidor, que permet minimitzar el risc de comprometre el sistema principal en executar programes no fiables o potencialment vulnerables.

Per a l'aïllament, Firejail utilitza espais de noms (namespaces), AppArmor i filtratge de trucades del sistema (seccomp-bpf) a Linux. Un cop iniciat, el programa i tots els processos secundaris usen representacions separades dels recursos del nucli, com ara la pila de xarxa, la taula de processos i els punts de muntatge.

Les aplicacions que depenen les unes de les altres es poden combinar en un entorn limitat comú. Si voleu, Firejail també es pot utilitzar per executar contenidors Docker, LXC i OpenVZ.

Una gran quantitat d'aplicacions populars, com Firefox, Chromium, VLC i Transmission, tenen perfils d'aïllament de trucades del sistema preconfigurats. Per obtenir els privilegis necessaris per configurar un entorn d'espai aïllat, l'executable firejail s'instal·la amb l'indicador arrel SUID (els privilegis es restableixen després de la inicialització). Per executar un programa en mode aïllat, només cal especificar el nom de l'aplicació com a argument per a la utilitat firejail, per exemple, firejail firefox o sudo firejail /etc/init.d/nginx start.

Principals novetats de Firejail 0.9.72

En aquesta nova versió podrem trobar que es va afegir el filtre de trucades al sistema seccomp per bloquejar les creacions d'espais de noms (es va afegir l'opció “–restrict-namespaces” per habilitar). S'han actualitzat les taules de trucades del sistema i els grups seccomp.

Es va millorar la manera force-nonewprivs (NO_NEW_PRIVS) millorar les garanties de seguretat i té la finalitat d'evitar que els nous processos obtinguin privilegis addicionals.

Un altre dels canvis que es destaca és que es va afegir la capacitat d'usar els seus propis perfils d'AppArmor (se suggereix l'opció “apparmor” per a la connexió).

També podrem trobar que el sistema de monitorització de trànsit de xarxa nettrace, que mostra informació sobre la IP i la intensitat del trànsit de cada adreça, és compatible amb ICMP i ofereix les opcions “–dnstrace”, “–icmptrace” i “–snitrace”.

Dels altres canvis que es destaquen:

  • Es van eliminar les ordres –cgroup i –shell (el valor per defecte és –shell=none).
  • La compilació del Firetunnel s'atura per defecte.
  • Configuració de chroot, private-lib i tracelog desactivada a /etc/firejail/firejail.config.
  • S'ha eliminat el suport per grsecurity.
  • modif: eliminat l'ordre –cgroup
  • modif: establiu –shell=none com a predeterminat
  • modif: eliminat –shell
  • modif: Firetunnel deshabilitat per defecte a configure.ac
  • modif: es va eliminar el suport de grsecurity
  • modif: deixar d'amagar els fitxers a la llista negra a /etc per defecte
  • comportament anterior (deshabilitat per defecte)
  • correcció d'errades: Inundació d'entrades de registre d'auditoria seccomp
  • correcció d'errors: -netlock no funciona (Error: no hi ha una zona de proves vàlida)

Finalment, per als que estiguin interessats en el programa, han de saber que està escrit a C, es distribueix sota la llicència GPLv2 i es pot executar en qualsevol distribució de Linux. Els paquets Ready amb Firejail es preparen en formats deb (Debian, Ubuntu).

Com instal·lar Firejail a Linux?

Per als que estiguin interessats a poder instal·lar Firejail en la seva distribució de Linux, podran fer-ho seguint les instruccions que compartim a continuació.

A Debian, Ubuntu i derivats la instal·lació és força senzilla, ja que poden instal·lar Firejail des dels repositoris de la seva distribució o poden descarregar els paquets deb preparats des de la el següent enllaç.

En el cas d'optar a la instal·lació des dels repositoris, només cal obrir un terminal i executar la següent comanda:

sudo apt-get install firejail

O si van decidir descarregar els paquets deb, poden realitzar la instal·lació amb el seu gestor de paquets preferit o des de la terminal amb la comanda:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Mentre que per al cas d'Arch Linux i derivats d'aquest, només cal executar:

sudo pacman -S firejail

Configuració

Feta la instal·lació, ara haurem de configurar el sandbox ia més hem de tenir AppArmor habilitat.

Des d'una terminal anem a teclejar:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Per conèixer el seu ús i integració pots consultar la seva guia en el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.