Firejail 0.9.72 arriva con miglioramenti della sicurezza e altro ancora

Darkcrizt

4 minuti

firejail_crop

Firejail è un programma SUID che riduce il rischio di violazioni della sicurezza limitando l'ambiente di esecuzione dell'applicazione

Annunciato il lancio del nuova versione del progetto Firejail 0.9.72, che si sviluppa un sistema per l'esecuzione isolata di applicazioni grafiche, console e server, che consente di ridurre al minimo il rischio di compromettere il sistema principale eseguendo programmi non attendibili o potenzialmente vulnerabili.

Per l'isolamento, Firejail utilizzare gli spazi dei nomi, AppArmor e filtraggio delle chiamate di sistema (seccomp-bpf) su Linux. Una volta avviato, il programma e tutti i suoi processi figli utilizzano rappresentazioni separate delle risorse del kernel, come lo stack di rete, la tabella dei processi ei punti di montaggio.

Le applicazioni che dipendono l'una dall'altra possono essere combinate in una sandbox comune. Se lo si desidera, Firejail può essere utilizzato anche per eseguire container Docker, LXC e OpenVZ.

Molte app popolari, tra cui Firefox, Chromium, VLC e Transmission, hanno profili di isolamento delle chiamate di sistema preconfigurati. Per ottenere i privilegi necessari per configurare un ambiente sandbox, l'eseguibile firejail viene installato con il prompt root SUID (i privilegi vengono reimpostati dopo l'inizializzazione). Per eseguire un programma in modalità isolata, è sufficiente specificare il nome dell'applicazione come argomento dell'utilità firejail, ad esempio "firejail firefox" o "sudo firejail /etc/init.d/nginx start".

Principali novità di Firejail 0.9.72

In questa nuova versione possiamo trovarlo aggiunto il filtro delle chiamate di sistema seccomp per bloccare le creazioni dello spazio dei nomi (aggiunta l'opzione "–restrict-namespaces" per abilitarla). Tabelle delle chiamate di sistema aggiornate e gruppi seccomp.

la modalità è stata migliorata forza-nonewprivs (NO_NEW_PRIVS) Migliora le garanzie di sicurezza e ha lo scopo di impedire a nuovi processi di ottenere privilegi aggiuntivi.

Un altro cambiamento che spicca è che è stata aggiunta la possibilità di utilizzare i propri profili AppArmor (l'opzione “–apparmor” è suggerita per la connessione).

Possiamo anche trovarlo il sistema di monitoraggio del traffico di rete nettrace, che visualizza informazioni sull'IP e sull'intensità del traffico di ciascun indirizzo, supporta ICMP e fornisce le opzioni “–dnstrace”, “–icmptrace” e “–snitrace”.

Del altre modifiche che risaltano:

  • Rimossi i comandi –cgroup e –shell (l'impostazione predefinita è –shell=none).
  • La compilazione di Firetunnel si interrompe per impostazione predefinita.
  • Configurazione di chroot, private-lib e tracelog disabilitata in /etc/firejail/firejail.config.
  • Rimosso il supporto per grsecurity.
  • modif: rimosso il comando –cgroup
  • modif: imposta --shell=none come predefinito
  • modifica: rimosso --shell
  • modif: Firetunnel disabilitato per impostazione predefinita in configure.ac
  • modif: rimosso il supporto grsecurity
  • modif: smette di nascondere i file nella lista nera in /etc per impostazione predefinita
  • vecchio comportamento (disabilitato per impostazione predefinita)
  • bug fix: flooding delle voci del registro di controllo seccomp
  • bugfix: --netlock non funzionante (Errore: nessuna sandbox valida)

Infine, per coloro che sono interessati al programma, sappiano che è scritto in C, è distribuito con licenza GPLv2 e può essere eseguito su qualsiasi distribuzione Linux. I pacchetti Firejail Ready sono preparati in formati deb (Debian, Ubuntu).

Come installare Firejail su Linux?

Per coloro che sono interessati a poter installare Firejail sulla propria distribuzione Linux, possono farlo seguendo le istruzioni che condividiamo di seguito.

Su Debian, Ubuntu e derivati l'installazione è abbastanza semplice, poiché possono installare Firejail dai repository della sua distribuzione oppure possono scaricare i pacchetti deb preparati da il seguente collegamento.

Nel caso in cui si scelga di installare dai repository, è sufficiente aprire un terminale ed eseguire il seguente comando:

sudo apt-get install firejail

Oppure se hanno deciso di scaricare i pacchetti deb, possono installarli con il loro gestore di pacchetti preferito o dal terminale con il comando:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Mentre per il caso di Arch Linux e derivati da questo, esegui:

sudo pacman -S firejail

Configurazione

Una volta terminata l'installazione, ora dovremo configurare la sandbox e dovremo anche avere AppArmor abilitato.

Da un terminale digiteremo:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Per conoscerne l'utilizzo e l'integrazione è possibile consultare la sua guida nel seguente link


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.