Firejail היא תוכנית SUID שמפחיתה את הסיכון לפרצות אבטחה על ידי הגבלת סביבת ביצוע האפליקציה
הודיע על השקת ה גרסה חדשה של פרויקט Firejail 0.9.72, שמתפתח מערכת לביצוע מבודד של יישומים גרפיים, קונסולה ושרת, המאפשרים לך למזער את הסיכון של פגיעה במערכת הראשית על ידי הפעלת תוכניות לא מהימנות או פגיעות.
לבידוד, Firejail להשתמש במרחבי שמות, AppArmor וסינון שיחות מערכת (seccomp-bpf) בלינוקס. לאחר ההפעלה, התוכנית וכל תהליכי הצאצא שלה משתמשים בייצוגים נפרדים של משאבי הליבה, כגון מחסנית הרשת, טבלת התהליך ונקודות הטעינה.
ניתן לשלב יישומים התלויים זה בזה לארגז חול משותף. אם תרצה, ניתן להשתמש ב-Firejail גם להפעלת מכולות Docker, LXC ו-OpenVZ.
להרבה אפליקציות פופולריות, כולל Firefox, Chromium, VLC ו-Transmission, יש פרופילי בידוד שיחות מערכת מוגדרים מראש. כדי להשיג את ההרשאות הדרושות להגדרת סביבת חול, קובץ ההפעלה של Firejail מותקן עם שורת השורש של SUID (הרשאות מתאפסות לאחר האתחול). כדי להפעיל תוכנית במצב מבודד, פשוט ציין את שם היישום כארגומנט לתוכנית השירות של firejail, לדוגמה, "firejail firefox" או "sudo firejail /etc/init.d/nginx start".
החדשות העיקריות של Firejail 0.9.72
בגרסה החדשה הזו אנו יכולים למצוא זאת נוסף מסנן קריאות מערכת secomp כדי לחסום יצירת מרחבי שמות (נוספה אפשרות "-restrict-namespaces" כדי להפעיל). טבלאות קריאות מערכת וקבוצות seccomp מעודכנות.
מצב שופר force-nonewprivs (NO_NEW_PRIVS) הוא משפר את ערבויות האבטחה ונועד למנוע מתהליכים חדשים לקבל הרשאות נוספות.
שינוי נוסף שבולט הוא שנוספה האפשרות להשתמש בפרופילי AppArmor משלך (מוצעת האפשרות "–apparmor" עבור החיבור).
אנחנו יכולים גם למצוא את זה מערכת ניטור התעבורה ברשת nettrace, שמציג מידע על ה-IP ועוצמת התעבורה של כל כתובת, תומך ב-ICMP ומספק את האפשרויות "–dnstrace", "–icmptrace" ו-"–snitrace".
של שינויים אחרים הבולטים:
- הסירו את הפקודות –cgroup ו-shell (ברירת המחדל היא –shell=none).
- בניית Firetunnel נעצרת כברירת מחדל.
- השבתת תצורת chroot, private-lib ו-tracelog ב-/etc/firejail/firejail.config.
- הוסרה התמיכה ב-grsecurity.
- modif: הסר את הפקודה –cgroup
- modif: set --shell=none כברירת מחדל
- לשנות: הוסר --shell
- modif: Firetunnel מושבת כברירת מחדל ב-configure.ac
- שינוי: הוסרה תמיכת grsecurity
- modif: הפסק להסתיר קבצים ברשימה השחורה ב-/etc כברירת מחדל
- התנהגות ישנה (מושבת כברירת מחדל)
- תיקון באג: הצפת ערכי יומן ביקורת של seccomp
- תיקון באג: --netlock לא עובד (שגיאה: אין ארגז חול חוקי)
לבסוף, למי שמתעניין בתוכנה, כדאי לדעת שהיא כתובה ב-C, מופצת תחת רישיון GPLv2 ויכולה לפעול בכל הפצת לינוקס. חבילות מוכנות של Firejail מוכנות בפורמטים של deb (Debian, Ubuntu).
כיצד להתקין את Firejail ב- Linux?
למי שמעוניין להיות מסוגל להתקין את Firejail בהפצת לינוקס שלהם, הם יכולים לעשות זאת בהתאם להוראות שאנחנו חולקים להלן.
על דביאן, אובונטו ונגזרות ההתקנה היא די פשוטה, שכן הם יכולים להתקין את Firejail מהמאגרים של תפוצתו או שהם יכולים להוריד את חבילות הדיב המוכנות מן הקישור הבא.
במקרה של בחירה בהתקנה ממאגרים, פשוט פתח מסוף ובצע את הפקודה הבאה:
sudo apt-get install firejail
או אם הם החליטו להוריד את חבילות deb, הם יכולים להתקין עם מנהל החבילות המועדף עליהם או מהמסוף עם הפקודה:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
ואילו במקרה של Arch Linux ונגזרות מכאן, פשוט רוץ:
sudo pacman -S firejail
תצורה
לאחר ההתקנה, כעת נצטרך להגדיר את ארגז החול וגם עלינו להפעיל את AppArmor.
ממסוף אנחנו הולכים להקליד:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
כדי לדעת את השימוש והאינטגרציה שלו תוכלו להתייעץ עם המדריך שלו בקישור הבא.