Το Firejail 0.9.72 φτάνει με βελτιώσεις ασφαλείας και πολλά άλλα

Darkcrizt

4 λεπτά

firejail_crop

Το Firejail είναι ένα πρόγραμμα SUID που μειώνει τον κίνδυνο παραβιάσεων ασφαλείας περιορίζοντας το περιβάλλον εκτέλεσης της εφαρμογής

Ανακοίνωσε την έναρξη της νέα έκδοση του έργου Firejail 0.9.72, η οποία αναπτύσσεται ένα σύστημα για την μεμονωμένη εκτέλεση γραφικών εφαρμογών, κονσόλα και διακομιστής, που σας επιτρέπει να ελαχιστοποιήσετε τον κίνδυνο να θέσετε σε κίνδυνο το κύριο σύστημα εκτελώντας μη αξιόπιστα ή δυνητικά ευάλωτα προγράμματα.

Για απομόνωση, Firejail χρήση χώρων ονομάτων, AppArmor και φιλτράρισμα κλήσεων συστήματος (seccomp-bpf) σε Linux. Μόλις ξεκινήσει, το πρόγραμμα και όλες οι θυγατρικές διεργασίες του χρησιμοποιούν ξεχωριστές αναπαραστάσεις πόρων πυρήνα, όπως η στοίβα δικτύου, ο πίνακας διεργασιών και τα σημεία προσάρτησης.

Οι εφαρμογές που εξαρτώνται η μία από την άλλη μπορούν να συνδυαστούν σε ένα κοινό sandbox. Εάν θέλετε, το Firejail μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση κοντέινερ Docker, LXC και OpenVZ.

Πολλές δημοφιλείς εφαρμογές, συμπεριλαμβανομένων των Firefox, Chromium, VLC και Transmission, έχουν προρυθμισμένα προφίλ απομόνωσης κλήσεων συστήματος. Για να αποκτήσετε τα απαραίτητα δικαιώματα για τη δημιουργία ενός περιβάλλοντος sandbox, το εκτελέσιμο αρχείο firejail εγκαθίσταται με την προτροπή ρίζας SUID (τα δικαιώματα επαναφέρονται μετά την προετοιμασία). Για να εκτελέσετε ένα πρόγραμμα σε απομονωμένη λειτουργία, απλώς καθορίστε το όνομα της εφαρμογής ως όρισμα στο βοηθητικό πρόγραμμα firejail, για παράδειγμα, "firejail firefox" ή "sudo firejail /etc/init.d/nginx start".

Κύρια νέα του Firejail 0.9.72

Σε αυτή τη νέα έκδοση μπορούμε να το βρούμε προστέθηκε φίλτρο κλήσεων συστήματος seccomp για να αποκλείσετε δημιουργίες ονομάτων (προστέθηκε η επιλογή «–περιορισμός ονομάτων» για ενεργοποίηση). Ενημερωμένοι πίνακες κλήσεων συστήματος και ομάδες seccomp.

η λειτουργία έχει βελτιωθεί force-nonewprivs (NO_NEW_PRIVS) Βελτιώνει τις εγγυήσεις ασφαλείας και αποσκοπεί στο να αποτρέψει νέες διαδικασίες από το να αποκτήσουν πρόσθετα προνόμια.

Μια άλλη αλλαγή που ξεχωρίζει είναι ότι προστέθηκε η δυνατότητα χρήσης των δικών σας προφίλ AppArmor (προτείνεται η επιλογή “–apparmor” για τη σύνδεση).

Μπορούμε επίσης να το βρούμε το σύστημα παρακολούθησης της κυκλοφορίας του δικτύου nettrace, που εμφανίζει πληροφορίες σχετικά με την IP και την ένταση κίνησης κάθε διεύθυνσης, υποστηρίζει το ICMP και παρέχει τις επιλογές «–dnstrace», «–icmptrace» και «–snitrace».

Του άλλες αλλαγές που ξεχωρίζουν:

  • Καταργήθηκαν οι εντολές –cgroup και –shell (η προεπιλογή είναι –shell=none).
  • Η κατασκευή του Firetunnel σταματά από προεπιλογή.
  • Απενεργοποιημένη διαμόρφωση chroot, private-lib και tracelog στο /etc/firejail/firejail.config.
  • Καταργήθηκε η υποστήριξη για το grsecurity.
  • modif: αφαίρεσε την εντολή –cgroup
  • modif: ορίστε --shell=none ως προεπιλογή
  • τροποποίηση: αφαιρέθηκε --κέλυφος
  • modif: Το Firetunnel είναι απενεργοποιημένο από προεπιλογή στο configure.ac
  • τροποποίηση: καταργήθηκε η υποστήριξη grsecurity
  • modif: διακοπή απόκρυψης αρχείων στη μαύρη λίστα στο /etc από προεπιλογή
  • παλιά συμπεριφορά (απενεργοποιημένη από προεπιλογή)
  • Διόρθωση σφαλμάτων: πλημμύρα καταχωρήσεων αρχείου καταγραφής ελέγχου seccomp
  • επιδιόρθωση σφαλμάτων: --netlock δεν λειτουργεί (Σφάλμα: δεν υπάρχει έγκυρο sandbox)

Τέλος, για όσους ενδιαφέρονται για το πρόγραμμα, θα πρέπει να γνωρίζουν ότι είναι γραμμένο σε C, διανέμεται με την άδεια GPLv2 και μπορεί να τρέξει σε οποιαδήποτε διανομή Linux. Τα πακέτα Firejail Ready προετοιμάζονται σε μορφές deb (Debian, Ubuntu).

Πώς να εγκαταστήσετε το Firejail στο Linux;

Για όσους ενδιαφέρονται να εγκαταστήσουν το Firejail στη διανομή Linux τους, μπορούν να το κάνουν ακολουθώντας τις οδηγίες που μοιραζόμαστε παρακάτω.

Στο Debian, Ubuntu και παράγωγα η εγκατάσταση είναι αρκετά απλή, αφού μπορεί να εγκαταστήσει το firejail από τα αποθετήρια της διανομής του ή μπορείτε να κατεβάσετε τα έτοιμα πακέτα deb από τον ακόλουθο σύνδεσμο.

Σε περίπτωση που επιλέξετε να εγκαταστήσετε από τα αποθετήρια, απλώς ανοίξτε ένα τερματικό και εκτελέστε την ακόλουθη εντολή:

sudo apt-get install firejail

Ή εάν αποφασίσατε να κάνετε λήψη των πακέτων deb, μπορείτε να εγκαταστήσετε με τον διαχειριστή πακέτων που προτιμάτε ή από το τερματικό με την εντολή:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Ενώ στην περίπτωση του Arch Linux και των παραγώγων από αυτό, απλώς τρέξτε:

sudo pacman -S firejail

διαμόρφωση

Μόλις ολοκληρωθεί η εγκατάσταση, τώρα θα πρέπει να διαμορφώσουμε το sandbox και πρέπει επίσης να έχουμε ενεργοποιημένο το AppArmor.

Από ένα τερματικό θα πληκτρολογήσουμε:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Για να μάθετε τη χρήση και την ενσωμάτωσή του, μπορείτε να συμβουλευτείτε τον οδηγό του Στον ακόλουθο σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.