Firejail 0.9.72 přichází s vylepšeními zabezpečení a dalšími

Oznámeno spuštění nová verze projektu Firejail 0.9.72, která se vyvíjí systém pro izolované provádění grafických aplikací, konzole a serveru, což vám umožňuje minimalizovat riziko ohrožení hlavního systému spouštěním nedůvěryhodných nebo potenciálně zranitelných programů.

Pro izolaci, Firejail používat jmenné prostory, AppArmor a filtrování systémových volání (seccomp-bpf) na Linuxu. Po spuštění program a všechny jeho podřízené procesy používají samostatné reprezentace prostředků jádra, jako je síťový zásobník, tabulka procesů a přípojné body.

Aplikace, které jsou na sobě závislé, lze kombinovat do společného sandboxu. V případě potřeby lze Firejail použít také ke spuštění kontejnerů Docker, LXC a OpenVZ.

Mnoho populárních aplikací, včetně Firefox, Chromium, VLC a Transmission, má předem nakonfigurované profily izolace systémových volání. Chcete-li získat potřebná oprávnění k nastavení prostředí v izolovaném prostoru, je spustitelný soubor firejail nainstalován s kořenovou výzvou SUID (oprávnění jsou resetována po inicializaci). Chcete-li spustit program v izolovaném režimu, jednoduše zadejte název aplikace jako argument obslužnému programu firejail, například „firejail firefox“ nebo „sudo firejail /etc/init.d/nginx start“.

Hlavní novinky Firejail 0.9.72

V této nové verzi to můžeme najít přidán filtr systémových volání seccomp blokovat vytváření jmenných prostorů (přidaná možnost „–restrict-namespaces“ pro povolení). Aktualizované tabulky systémových volání a skupiny seccomp.

režim byl vylepšen force-nonewprivs (NO_NEW_PRIVS) Zlepšuje záruky zabezpečení a má zabránit novým procesům v získávání dalších oprávnění.

Další změnou, která vyniká, je, že byla přidána možnost používat vlastní profily AppArmor (pro připojení je navržena možnost „–apparmor“).

Můžeme to také najít systém sledování síťového provozu nettrace, který zobrazuje informace o IP a intenzitě provozu každé adresy, podporuje ICMP a poskytuje možnosti „–dnstrace“, „–icmptrace“ a „–snitrace“.

Z další významné změny:

• Byly odstraněny příkazy –cgroup a –shell (výchozí je –shell=none).
• Sestavení Firetunelu se ve výchozím nastavení zastaví.
• Vypnutý chroot, private-lib a tracelog konfigurace v /etc/firejail/firejail.config.
• Odebrána podpora pro grsecurity.
• modif: odstranil příkaz –cgroup
• modif: nastavit --shell=none jako výchozí
• upravit: odstraněno --shell
• modif: Firetunnel ve výchozím nastavení v configure.ac zakázán
• modif: odstraněna podpora grsecurity
• modif: ve výchozím nastavení přestane skrývat soubory na černé listině v /etc
• staré chování (ve výchozím nastavení zakázáno)
• oprava chyby: zahlcení záznamů protokolu auditu seccomp
• oprava chyby: --netlock nefunguje (Chyba: není platný sandbox)

A konečně, pro ty, kdo se o program zajímají, měli by vědět, že je napsán v C, je distribuován pod licencí GPLv2 a může běžet na libovolné distribuci Linuxu. Balíčky Firejail Ready jsou připraveny ve formátech deb (Debian, Ubuntu).

Jak nainstalovat Firejail na Linux?

Pro ty, kteří mají zájem o instalaci Firejail na jejich distribuci Linuxu, mohou to udělat podle pokynů které sdílíme níže.

Na Debianu, Ubuntu a derivátech instalace je poměrně jednoduchá, protože mohou instalovat Firejail z úložišť jeho distribuce nebo si mohou stáhnout připravené deb balíčky z následující odkaz.

V případě výběru instalace z úložišť stačí otevřít terminál a provést následující příkaz:

sudo apt-get install firejail

Nebo pokud se rozhodli stáhnout balíčky deb, mohou nainstalovat pomocí svého preferovaného správce balíčků nebo z terminálu pomocí příkazu:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Zatímco pro případ Arch Linuxu a derivátů z toho stačí spustit:

sudo pacman -S firejail

konfigurace

Jakmile je instalace hotová, nyní budeme muset nakonfigurovat karanténu a také musíme mít povolený AppArmor.

Z terminálu napíšeme:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Chcete-li znát jeho použití a integraci, můžete se podívat do jeho průvodce Na následujícím odkazu.