Palomies on kehys, joka kehittää järjestelmän graafisten sovellusten eristetylle suorittamiselle, konsoli ja palvelin. Firejailin käyttö minimoi järjestelmän vaarantumisriskin pääasiassa epäluotettavia tai mahdollisesti haavoittuvia ohjelmia käytettäessä. Ohjelma on kirjoitettu C-muodossa, jaettu GPLv2-lisenssillä ja se voi toimia missä tahansa Linux-jakelussa.
Palomies käyttää nimitiloja, AppArmoria ja järjestelmäkutsujen suodatusta (seccomp-bpf) Linuxissa eristämistä varten. Käynnistyksen jälkeen ohjelma ja kaikki sen aliprosessit käyttävät ytimen resurssien erillisiä esityksiä, kuten verkkopino, prosessitaulukko ja liitospisteet.
Riippuvat sovellukset voidaan yhdistää yhteiseen hiekkalaatikkoon. Haluttaessa Firejailia voidaan käyttää myös Docker-, LXC- ja OpenVZ-konttien käynnistämiseen.
Tietoja Firejailista
Toisin kuin säiliön eristystyökalut, Firejail on erittäin helppo konfiguroida eikä vaadi järjestelmäkuvan valmistelua: säiliön koostumus muodostetaan nykyisen tiedostojärjestelmän sisällön perusteella ja poistetaan sovelluksen päättymisen jälkeen.
Se tarjota joustavia työkaluja tiedostojärjestelmän käyttöoikeussääntöjen asettamiseen, Voit määrittää, mitkä tiedostot ja hakemistot ovat evänneet tai evätyt, yhdistää väliaikaiset tiedostojärjestelmät (tmpfs) dataa varten, rajoittaa vain luku -oikeutta tiedostoihin tai hakemistoihin, yhdistää hakemistoja bind-mount- ja overlayf-tiedostoilla.
Useille suosituille sovelluksille, kuten Firefox, Chromium, VLC ja muut, järjestelmäkutsujen eristysprofiilit on valmistettu alusta alkaen.
Saadaksesi tarvittavat oikeudet hiekkalaatikon asentamiseen, firejail-suoritustiedosto asennetaan SUID-juurilipun kanssa (alustamisen jälkeen oikeudet nollataan).
Mitä uutta Firejail 0.9.62: ssa on?
Tässä uudessa versiossa korostetaan sitä mukana tulee lisää profiileja sovelluksen käynnistämistä varten eristetty, jonka kanssa profiilien kokonaismäärä on jopa 884.
Sen lisäksi tiedostokopioinnin raja-asetus on lisätty /etc/firejail/firejail.config -asetustiedostoon, Tämän avulla voit rajoittaa muistiin kopioitavien tiedostojen kokoa "yksityinen- *" -vaihtoehdoilla (oletusarvoisesti rajaksi on asetettu 500 Mt).
Chroot-puhelu ei nyt suoriteta polun perusteella, vaan käyttää sen sijaan tiedostokuvaajaan perustuvia kiinnityspisteitä.
Muista muutoksista:
- Profiileissa virheenkorjaajat ovat sallittuja.
- Parannettu järjestelmäpuheluiden suodatus seccomp-mekanismin avulla.
- Kääntäjän lippujen automaattinen tunnistus tarjotaan.
- / Usr / share -hakemisto on sallittu useille profiileille.
- Uudet auttajaskriptit gdb-firejail.sh ja sort.py on lisätty conrib-osioon.
- Parannettu suojaus etuoikeutetussa koodin suoritusvaiheessa (SUID).
- Profiileille otetaan käyttöön uudet ehdolliset merkit HAS_X11 ja HAS_NET, joilla varmistetaan X-palvelimen läsnäolo ja pääsy verkkoon.
Kuinka asentaa Firejail Linuxiin?
Niille, jotka ovat kiinnostuneita asentamaan Firejailin Linux-jakeluunsa, he voivat tehdä sen noudattamalla ohjeita jonka jaamme alla.
Debian, Ubuntu ja johdannaiset asennus on melko yksinkertaista he voivat asentaa Firejailin arkistoista sen jakelusta tai he voivat ladata valmiit deb-paketit alkaen sourceforge.
Jos valitset asennuksen arkistoista, avaa vain pääte ja suorita seuraava komento:
sudo apt-get install firejail
Tai jos he päättivät ladata deb-paketit, he voivat asentaa haluamallaan paketinhallinnalla tai terminaalista komennolla:
sudo dpkg -i firejail_0.9.62_1*.deb
Vaikka Arch Linuxin ja sen johdannaisten tapauksessa Tästä aja vain:
sudo pacman -S firejail
Fedora, RHEL, CentOS, OpenSUSE tai mikä tahansa muu distro, joka tukee rpm-paketteja, voi saada paketit seuraava linkki.
Ja asennus tehdään:
sudo rpm -i firejail-0.9.62-1.x86_64.rpm
kokoonpano
Kun asennus on valmis, meidän on nyt määritettävä hiekkalaatikko ja myös AppArmor.
Terminaalista aiomme kirjoittaa:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Voit tutustua sen käyttöön ja integrointiin tutustumalla sen oppaaseen Seuraavassa linkissä.