Vatrogasni zatvor je okvir koji razvija sustav za izolirano izvršavanje grafičkih aplikacija, konzola i poslužitelj. Korištenje Firejaila minimalizira rizik od ugrožavanja sustava glavni kada se izvode nepouzdani ili potencijalno ranjivi programi. Program je napisan na C jeziku, distribuira se pod licencom GPLv2 i može raditi na bilo kojoj Linux distribuciji.
Vatrogasni zatvor koristi prostore imena, AppArmor i filtriranje sistemskih poziva (seccomp-bpf) na Linuxu radi izolacije. Jednom pokrenuti, program i svi njegovi podređeni procesi koriste zasebne prikaze resursa jezgre, poput mrežnog stoga, tablice procesa i točaka montiranja.
Ovisne aplikacije mogu se kombinirati u zajedničkom pješčaniku. Po želji se Firejail može koristiti i za pokretanje Dockera, LXC i OpenVZ spremnika.
O vatrogasnom zatvoru
Za razliku od alata za izolaciju spremnika, Firejail je izuzetno jednostavan za konfiguriranje i ne zahtijeva pripremu slike sustava: sastav spremnika formira se na temelju sadržaja trenutnog datotečnog sustava i uklanja nakon završetka aplikacije.
Se pružiti fleksibilne alate za postavljanje pravila pristupa sustavu datoteka, Možete utvrditi kojim datotekama i direktorijima je pristup odbijen ili odbijen, povezati privremene datotečne sustave (tmpfs) za podatke, ograničiti pristup samo za čitanje datotekama ili direktorijima, kombinirati direktorije pomoću bind-mount-a i overlayfova.
Za veliki broj popularnih aplikacija, uključujući Firefox, Chromium, VLC, između ostalih, pripremljeni su izvanmrežni profili za izolaciju poziva.
Da bi se stekle potrebne privilegije za postavljanje pješčanika, izvršna izvedba firejaila instalira se s matičnom zastavicom SUID (nakon inicijalizacije privilegije se resetiraju).
Što je novo u Firejailu 0.9.62?
U ovoj novoj verziji istaknuto je da dolazi s više dodanih profila za pokretanje aplikacije izolirani s kojima ukupan broj profila doseže do 884.
Osim toga postavka ograničenja kopiranja datoteke dodana je u konfiguracijsku datoteku /etc/firejail/firejail.config, To vam omogućuje da ograničite veličinu datoteka koje će se kopirati u memoriju pomoću opcija "–private- *" (prema zadanim postavkama ograničenje je postavljeno na 500 MB).
Poziv chroot sada se ne temelji na putanji, već koristi točke montiranja na temelju deskriptora datoteke.
Od ostalih promjena:
- U profilima su dopušteni ispravljači programa.
- Poboljšano filtriranje sistemskih poziva korištenjem seccomp mehanizma.
- Osigurano je automatsko otkrivanje zastavica kompajlera.
- Direktorij / usr / share nalazi se na bijeloj listi za razne profile.
- U pomoćni su odjeljak dodane nove pomoćne skripte gdb-firejail.sh i sort.py.
- Poboljšana zaštita u privilegiranoj fazi izvršenja koda (SUID).
- Za profile su implementirani novi uvjetni znakovi HAS_X11 i HAS_NET da bi se potvrdila prisutnost X poslužitelja i pristup mreži.
Kako instalirati Firejail na Linux?
Za one koje zanima mogućnost instaliranja Firejaila na njihovu Linux distribuciju, to mogu učiniti slijedeći upute koje dijelimo u nastavku.
Na Debianu, Ubuntuu i izvedenicama instalacija je vrlo jednostavna jer mogu instalirati Firejail iz spremišta njegove distribucije ili mogu preuzeti pripremljene deb pakete od izvorna kovačnica.
U slučaju odabira instalacije iz spremišta, samo otvorite terminal i izvršite sljedeću naredbu:
sudo apt-get install firejail
Ili ako su odlučili preuzeti deb pakete, mogu ih instalirati s željenim upraviteljem paketa ili s terminala s naredbom:
sudo dpkg -i firejail_0.9.62_1*.deb
Dok za slučaj Arch Linuxa i izvedenica od ovoga, samo pokrenite:
sudo pacman -S firejail
Za slučaj Fedore, RHEL, CentOS, OpenSUSE ili bilo koji drugi distro s podrškom za rpm pakete može dobiti pakete od sljedeći link.
A instalacija se provodi sa:
sudo rpm -i firejail-0.9.62-1.x86_64.rpm
konfiguracija
Nakon što je instalacija gotova, sada ćemo morati konfigurirati pješčanik, a također moramo imati omogućen AppArmor.
Iz terminala ćemo upisati:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Da biste saznali njegovu upotrebu i integraciju, možete potražiti vodič U sljedećem linku.