Firejail, sovelluseristysjärjestelmä saapuu uudella versiolla 0.9.62

tulipalo

Palomies on kehys, joka kehittää järjestelmän graafisten sovellusten eristetylle suorittamiselle, konsoli ja palvelin. Firejailin käyttö minimoi järjestelmän vaarantumisriskin pääasiassa epäluotettavia tai mahdollisesti haavoittuvia ohjelmia käytettäessä. Ohjelma on kirjoitettu C-muodossa, jaettu GPLv2-lisenssillä ja se voi toimia missä tahansa Linux-jakelussa.

Palomies käyttää nimitiloja, AppArmoria ja järjestelmäkutsujen suodatusta (seccomp-bpf) Linuxissa eristämistä varten. Käynnistyksen jälkeen ohjelma ja kaikki sen aliprosessit käyttävät ytimen resurssien erillisiä esityksiä, kuten verkkopino, prosessitaulukko ja liitospisteet.

Riippuvat sovellukset voidaan yhdistää yhteiseen hiekkalaatikkoon. Haluttaessa Firejailia voidaan käyttää myös Docker-, LXC- ja OpenVZ-konttien käynnistämiseen.

Tietoja Firejailista

Toisin kuin säiliön eristystyökalut, Firejail on erittäin helppo konfiguroida eikä vaadi järjestelmäkuvan valmistelua: säiliön koostumus muodostetaan nykyisen tiedostojärjestelmän sisällön perusteella ja poistetaan sovelluksen päättymisen jälkeen.

Se tarjota joustavia työkaluja tiedostojärjestelmän käyttöoikeussääntöjen asettamiseen, Voit määrittää, mitkä tiedostot ja hakemistot ovat evänneet tai evätyt, yhdistää väliaikaiset tiedostojärjestelmät (tmpfs) dataa varten, rajoittaa vain luku -oikeutta tiedostoihin tai hakemistoihin, yhdistää hakemistoja bind-mount- ja overlayf-tiedostoilla.

Useille suosituille sovelluksille, kuten Firefox, Chromium, VLC ja muut, järjestelmäkutsujen eristysprofiilit on valmistettu alusta alkaen.

Saadaksesi tarvittavat oikeudet hiekkalaatikon asentamiseen, firejail-suoritustiedosto asennetaan SUID-juurilipun kanssa (alustamisen jälkeen oikeudet nollataan).

Mitä uutta Firejail 0.9.62: ssa on?

Tässä uudessa versiossa korostetaan sitä mukana tulee lisää profiileja sovelluksen käynnistämistä varten eristetty, jonka kanssa profiilien kokonaismäärä on jopa 884.

Sen lisäksi tiedostokopioinnin raja-asetus on lisätty /etc/firejail/firejail.config -asetustiedostoon, Tämän avulla voit rajoittaa muistiin kopioitavien tiedostojen kokoa "yksityinen- *" -vaihtoehdoilla (oletusarvoisesti rajaksi on asetettu 500 Mt).

Chroot-puhelu ei nyt suoriteta polun perusteella, vaan käyttää sen sijaan tiedostokuvaajaan perustuvia kiinnityspisteitä.

Muista muutoksista:

  • Profiileissa virheenkorjaajat ovat sallittuja.
  • Parannettu järjestelmäpuheluiden suodatus seccomp-mekanismin avulla.
  • Kääntäjän lippujen automaattinen tunnistus tarjotaan.
  • / Usr / share -hakemisto on sallittu useille profiileille.
  • Uudet auttajaskriptit gdb-firejail.sh ja sort.py on lisätty conrib-osioon.
  • Parannettu suojaus etuoikeutetussa koodin suoritusvaiheessa (SUID).
  • Profiileille otetaan käyttöön uudet ehdolliset merkit HAS_X11 ja HAS_NET, joilla varmistetaan X-palvelimen läsnäolo ja pääsy verkkoon.

Kuinka asentaa Firejail Linuxiin?

Niille, jotka ovat kiinnostuneita asentamaan Firejailin Linux-jakeluunsa, he voivat tehdä sen noudattamalla ohjeita jonka jaamme alla.

Debian, Ubuntu ja johdannaiset asennus on melko yksinkertaista he voivat asentaa Firejailin arkistoista sen jakelusta tai he voivat ladata valmiit deb-paketit alkaen sourceforge. 

Jos valitset asennuksen arkistoista, avaa vain pääte ja suorita seuraava komento:

sudo apt-get install firejail

Tai jos he päättivät ladata deb-paketit, he voivat asentaa haluamallaan paketinhallinnalla tai terminaalista komennolla:

sudo dpkg -i firejail_0.9.62_1*.deb

Vaikka Arch Linuxin ja sen johdannaisten tapauksessa Tästä aja vain:

sudo pacman -S firejail

Fedora, RHEL, CentOS, OpenSUSE tai mikä tahansa muu distro, joka tukee rpm-paketteja, voi saada paketit seuraava linkki.

Ja asennus tehdään:

sudo rpm -i firejail-0.9.62-1.x86_64.rpm

kokoonpano

Kun asennus on valmis, meidän on nyt määritettävä hiekkalaatikko ja myös AppArmor.

Terminaalista aiomme kirjoittaa:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Voit tutustua sen käyttöön ja integrointiin tutustumalla sen oppaaseen Seuraavassa linkissä.


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.