Firejail 0.9.72는 보안 개선 등을 제공합니다.

Darkcrizt

4 분

방화 감옥_자르기

Firejail은 응용 프로그램 실행 환경을 제한하여 보안 위반 위험을 줄이는 SUID 프로그램입니다.

의 출시를 발표했습니다. Firejail 프로젝트 0.9.72의 새 버전, 발전하는 그래픽 애플리케이션의 격리된 실행을 위한 시스템, 콘솔 및 서버를 통해 신뢰할 수 없거나 잠재적으로 취약한 프로그램을 실행하여 기본 시스템을 손상시킬 위험을 최소화할 수 있습니다.

격리를 위해 Firejail 네임스페이스 사용, Linux의 AppArmor 및 시스템 호출 필터링(seccomp-bpf). 프로그램이 시작되면 프로그램과 모든 하위 프로세스는 네트워크 스택, 프로세스 테이블 및 마운트 지점과 같은 별도의 커널 리소스 표현을 사용합니다.

서로 의존하는 애플리케이션을 공통 샌드박스로 결합할 수 있습니다. 원하는 경우 Firejail을 사용하여 Docker, LXC 및 OpenVZ 컨테이너를 실행할 수도 있습니다.

Firefox, Chromium, VLC 및 Transmission을 비롯한 많은 인기 앱에는 사전 구성된 시스템 호출 격리 프로필이 있습니다. 샌드박스 환경을 설정하는 데 필요한 권한을 얻기 위해 Firejail 실행 파일이 SUID 루트 프롬프트와 함께 설치됩니다(초기화 후 권한이 재설정됨). 격리 모드에서 프로그램을 실행하려면 "firejail firefox" 또는 "sudo firejail /etc/init.d/nginx start"와 같이 응용 프로그램 이름을 firejail 유틸리티에 대한 인수로 지정하기만 하면 됩니다.

Firejail 0.9.72의 주요 뉴스

이 새 버전에서 우리는 seccomp 시스템 호출 필터 추가 네임스페이스 생성을 차단합니다(활성화할 "–restrict-namespaces" 옵션 추가). 업데이트된 시스템 호출 테이블 및 seccomp 그룹.

모드가 개선되었습니다 강제 nonewprivs(NO_NEW_PRIVS) 이는 보안 보장을 향상시키고 새 프로세스가 추가 권한을 얻지 못하도록 방지하기 위한 것입니다.

눈에 띄는 또 다른 변경 사항은 자신의 AppArmor 프로필을 사용할 수 있는 기능이 추가되었다는 것입니다(연결에 "–apparmor" 옵션이 제안됨).

우리는 또한 찾을 수 있습니다 nettrace 네트워크 트래픽 모니터링 시스템, 각 주소의 IP 및 트래픽 강도에 대한 정보를 표시합니다. ICMP를 지원하고 “–dnstrace”, “–icmptrace” 및 “–snitrace” 옵션을 제공합니다.

눈에 띄는 기타 변경 사항 :

  • –cgroup 및 –shell 명령을 제거했습니다(기본값은 –shell=none임).
  • Firetunnel 빌드는 기본적으로 중지됩니다.
  • /etc/firejail/firejail.config에서 chroot, private-lib 및 tracelog 구성을 비활성화했습니다.
  • grsecurity에 대한 지원이 제거되었습니다.
  • modif: –cgroup 명령을 제거했습니다.
  • 수정: --shell=none을 기본값으로 설정
  • 수정: 제거 --shell
  • modif: configure.ac에서 기본적으로 비활성화된 Firetunnel
  • modif: grsecurity 지원 제거
  • modif: 기본적으로 /etc에서 블랙리스트 파일 숨기기를 중지합니다.
  • 이전 동작(기본적으로 비활성화됨)
  • 버그 수정: seccomp 감사 로그 항목 범람
  • 버그 수정: --netlock이 작동하지 않음(오류: 유효한 샌드박스 없음)

마지막으로 이 프로그램에 관심이 있는 사람들은 이 프로그램이 C로 작성되었고 GPLv2 라이선스로 배포되며 모든 Linux 배포판에서 실행될 수 있다는 사실을 알아야 합니다. Firejail Ready 패키지는 deb 형식(Debian, Ubuntu)으로 준비됩니다.

Linux에 Firejail을 설치하는 방법은 무엇입니까?

Linux 배포판에 Firejail을 설치하는 데 관심이있는 사용자를 위해 그들은 지시에 따라 그것을 할 수 있습니다 아래에 공유합니다.

Debian, Ubuntu 및 파생 제품 설치가 상당히 간단하기 때문에 그들은 저장소에서 Firejail을 설치할 수 있습니다. 그것의 분포 또는 준비된 deb 패키지를 다운로드 할 수 있습니다. 부터 다음 링크.

저장소에서 설치를 선택하는 경우 터미널을 열고 다음 명령을 실행하십시오.

sudo apt-get install firejail

또는 deb 패키지를 다운로드하기로 결정한 경우 선호하는 패키지 관리자를 사용하거나 다음 명령을 사용하여 터미널에서 설치할 수 있습니다.

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Arch Linux 및 파생 제품의 경우 이것에서 다음을 실행하십시오.

sudo pacman -S firejail

구성

설치가 완료되면 이제 샌드 박스를 구성해야하며 AppArmor도 활성화해야합니다.

터미널에서 다음을 입력합니다.

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

사용 및 통합을 알기 위해 가이드를 참조하십시오. 다음 링크에서.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.