Firejail 0.9.72 arrive avec des améliorations de sécurité et plus

Darkcrizt

Minutes 4

firejail_crop

Firejail est un programme SUID qui réduit le risque de failles de sécurité en restreignant l'environnement d'exécution de l'application

annoncé le lancement de la nouvelle version du projet Firejail 0.9.72, qui développe un système pour l'exécution isolée d'applications graphiques, console et serveur, ce qui vous permet de minimiser le risque de compromettre le système principal en exécutant des programmes non fiables ou potentiellement vulnérables.

Pour l'isolement, Firejail utiliser des espaces de noms, AppArmor et filtrage des appels système (seccomp-bpf) sous Linux. Une fois démarré, le programme et tous ses processus enfants utilisent des représentations distinctes des ressources du noyau, telles que la pile réseau, la table des processus et les points de montage.

Les applications qui dépendent les unes des autres peuvent être combinées dans un bac à sable commun. Si vous le souhaitez, Firejail peut également être utilisé pour exécuter des conteneurs Docker, LXC et OpenVZ.

De nombreuses applications populaires, notamment Firefox, Chromium, VLC et Transmission, ont des profils d'isolation des appels système préconfigurés. Pour obtenir les privilèges nécessaires pour configurer un environnement en bac à sable, l'exécutable firejail est installé avec l'invite racine SUID (les privilèges sont réinitialisés après l'initialisation). Pour exécuter un programme en mode isolé, spécifiez simplement le nom de l'application comme argument de l'utilitaire firejail, par exemple, "firejail firefox" ou "sudo firejail /etc/init.d/nginx start".

Principales actualités de Firejail 0.9.72

Dans cette nouvelle version, nous pouvons trouver que ajout du filtre d'appel système seccomp pour bloquer les créations d'espaces de noms (ajout de l'option "-restrict-namespaces" à activer). Mise à jour des tables d'appels système et des groupes seccomp.

le mode a été amélioré force-nonewprivs (NO_NEW_PRIVS) Il améliore les garanties de sécurité et vise à empêcher de nouveaux processus d'acquérir des privilèges supplémentaires.

Un autre changement qui se démarque est que la possibilité d'utiliser vos propres profils AppArmor a été ajoutée (l'option "-apparmor" est suggérée pour la connexion).

On peut aussi trouver que le système de surveillance du trafic réseau nettrace, qui affiche des informations sur l'IP et l'intensité du trafic de chaque adresse, prend en charge ICMP et fournit les options « –dnstrace », « –icmptrace » et « –snitrace ».

De l' autres changements qui se démarquent:

  • Suppression des commandes –cgroup et –shell (la valeur par défaut est –shell=none).
  • La construction de Firetunnel s'arrête par défaut.
  • Configuration chroot, private-lib et tracelog désactivée dans /etc/firejail/firejail.config.
  • Suppression de la prise en charge de grsecurity.
  • modif : suppression de la commande –cgroup
  • modif : définissez --shell=none par défaut
  • modifier: supprimé --shell
  • modif : Firetunnel désactivé par défaut dans configure.ac
  • modif : suppression de la prise en charge de grsecurity
  • modif : arrête de cacher les fichiers sur liste noire dans /etc par défaut
  • ancien comportement (désactivé par défaut)
  • correction de bogue : inondation des entrées du journal d'audit seccomp
  • correction de bug : --netlock ne fonctionne pas (Erreur : pas de bac à sable valide)

Enfin, pour ceux qui sont intéressés par le programme, ils doivent savoir qu'il est écrit en C, est distribué sous licence GPLv2 et peut fonctionner sur n'importe quelle distribution Linux. Les packages Firejail Ready sont préparés au format deb (Debian, Ubuntu).

Comment installer Firejail sur Linux?

Pour ceux qui souhaitent pouvoir installer Firejail sur leur distribution Linux, ils peuvent le faire en suivant les instructions que nous partageons ci-dessous.

Sur Debian, Ubuntu et ses dérivés l'installation est assez simple, puisque ils peuvent installer Firejail à partir des référentiels de sa distribution ou ils peuvent télécharger les packages deb préparés dès le lien suivant.

Dans le cas de l'option d'installation à partir des référentiels, ouvrez simplement un terminal et exécutez la commande suivante:

sudo apt-get install firejail

Ou s'ils ont décidé de télécharger les packages deb, ils peuvent installer avec leur gestionnaire de packages préféré ou depuis le terminal avec la commande:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Alors que pour le cas d'Arch Linux et ses dérivés à partir de là, lancez simplement:

sudo pacman -S firejail

configuration

Une fois l'installation terminée, nous devrons maintenant configurer le bac à sable et nous devons également activer AppArmor.

Depuis un terminal, nous allons taper:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Pour connaître son utilisation et son intégration vous pouvez consulter son guide dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.