の立ち上げを発表 Firejail プロジェクトの新しいバージョン 0.9.72、開発する グラフィックアプリケーションを分離して実行するためのシステム、コンソール、およびサーバー。これにより、信頼されていない、または潜在的に脆弱なプログラムを実行して、メイン システムを危険にさらすリスクを最小限に抑えることができます。
隔離のため、ファイアジェイル 名前空間を使用し、 Linux での AppArmor とシステム コール フィルタリング (seccomp-bpf)。 起動すると、プログラムとそのすべての子プロセスは、ネットワーク スタック、プロセス テーブル、マウント ポイントなど、カーネル リソースの個別の表現を使用します。
相互に依存するアプリケーションは、共通のサンドボックスに結合できます。 必要に応じて、Firejail を使用して Docker、LXC、および OpenVZ コンテナーを実行することもできます。
Firefox、Chromium、VLC、Transmission などの多くの一般的なアプリには、事前に構成されたシステム コール分離プロファイルがあります。 サンドボックス環境をセットアップするために必要な権限を取得するには、firejail 実行可能ファイルを SUID ルート プロンプトでインストールします (権限は初期化後にリセットされます)。 分離モードでプログラムを実行するには、firejail ユーティリティへの引数としてアプリケーション名を指定するだけです (例: "firejail firefox" または "sudo firejail /etc/init.d/nginx start")。
Firejail 0.9.72 の主なニュース
この新しいバージョンでは、 seccomp システムコールフィルターを追加 名前空間の作成をブロックします (有効にするために「–restrict-namespaces」オプションを追加しました)。 システム コール テーブルと seccomp グループを更新しました。
モードが改善されました 強制 nonewprivs (NO_NEW_PRIVS) これにより、セキュリティの保証が向上し、新しいプロセスが追加の権限を取得するのを防ぐことを目的としています。
際立っているもう XNUMX つの変更点は、独自の AppArmor プロファイルを使用する機能が追加されたことです (接続にはオプション「–apparmor」が提案されています)。
私達はまたそれを見つけることができます nettrace ネットワーク トラフィック監視システム、 各アドレスの IP とトラフィック強度に関する情報を表示します。 ICMP をサポートし、オプション「–dnstrace」、「–icmptrace」、および「–snitrace」を提供します。
の 目立つその他の変更:
- –cgroup および –shell コマンドを削除しました (デフォルトは –shell=none)。
- Firetunnel のビルドはデフォルトで停止します。
- /etc/firejail/firejail.config で chroot、private-lib、および tracelog 構成を無効にしました。
- grsecurity のサポートを削除しました。
- 変更: –cgroup コマンドを削除しました
- 変更: --shell=none をデフォルトとして設定
- 変更: --shell を削除しました
- 変更: configure.ac で Firetunnel がデフォルトで無効になっています
- 変更: grsecurity のサポートを削除しました
- modif: ブラックリストに登録されたファイルをデフォルトで /etc に隠すのをやめました
- 古い動作 (デフォルトでは無効)
- バグ修正: seccomp 監査ログ エントリのフラッディング
- バグ修正: --netlock が機能しない (エラー: 有効なサンドボックスがありません)
最後に、このプログラムに興味のある人は、このプログラムが C で書かれており、GPLv2 ライセンスの下で配布されており、任意の Linux ディストリビューションで実行できることを知っておく必要があります。 Firejail Ready パッケージは deb 形式 (Debian、Ubuntu) で用意されています。
LinuxにFirejailをインストールするにはどうすればいいですか?
LinuxディストリビューションにFirejailをインストールできることに興味がある人は、 彼らは指示に従ってそれを行うことができます 以下で共有します。
Debian、Ubuntuおよび派生物 インストールは非常に簡単です。 リポジトリからFirejailをインストールできます その分布の または、準備されたdebパッケージをダウンロードできます から 次のリンク。
リポジトリからのインストールを選択した場合は、ターミナルを開いて次のコマンドを実行するだけです。
sudo apt-get install firejail
または、debパッケージをダウンロードすることにした場合は、好みのパッケージマネージャーを使用するか、ターミナルから次のコマンドを使用してインストールできます。
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
Arch Linux とその派生製品の場合 これから、実行するだけです。
sudo pacman -S firejail
コンフィギュレーション
インストールが完了したら、サンドボックスを構成する必要があります。また、AppArmorを有効にする必要があります。
ターミナルから次のように入力します。
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
その使用法と統合については、ガイドを参照してください。 次のリンクで。