फायरजेल हा एक एसयूआयडी प्रोग्राम आहे जो ऍप्लिकेशनच्या अंमलबजावणीचे वातावरण मर्यादित करून सुरक्षा उल्लंघनाचा धोका कमी करतो.
च्या शुभारंभाची घोषणा केली फायरजेल प्रकल्पाची नवीन आवृत्ती 0.9.72, जे विकसित होते ग्राफिक ऍप्लिकेशन्सच्या वेगळ्या अंमलबजावणीसाठी एक प्रणाली, कन्सोल आणि सर्व्हर, जे तुम्हाला अविश्वासू किंवा संभाव्य असुरक्षित प्रोग्राम चालवून मुख्य प्रणालीशी तडजोड करण्याचा धोका कमी करण्यास अनुमती देते.
अलगाव साठी, फायरजेल नेमस्पेसेस वापरा, लिनक्स वर ऍपआर्मर आणि सिस्टम कॉल फिल्टरिंग (seccomp-bpf). एकदा सुरू झाल्यावर, प्रोग्राम आणि त्याच्या सर्व चाइल्ड प्रक्रिया कर्नल संसाधनांचे वेगळे प्रतिनिधित्व वापरतात, जसे की नेटवर्क स्टॅक, प्रक्रिया सारणी आणि माउंट पॉइंट.
एकमेकांवर अवलंबून असलेले अनुप्रयोग सामान्य सँडबॉक्समध्ये एकत्र केले जाऊ शकतात. इच्छित असल्यास, फायरजेलचा वापर डॉकर, एलएक्ससी आणि ओपनव्हीझेड कंटेनर चालविण्यासाठी देखील केला जाऊ शकतो.
फायरफॉक्स, क्रोमियम, व्हीएलसी आणि ट्रान्समिशनसह बर्याच लोकप्रिय अॅप्समध्ये प्री-कॉन्फिगर केलेले सिस्टम कॉल आयसोलेशन प्रोफाइल आहेत. सँडबॉक्स्ड वातावरण सेट करण्यासाठी आवश्यक विशेषाधिकार मिळविण्यासाठी, फायरजेल एक्झिक्युटेबल SUID रूट प्रॉम्प्टसह स्थापित केले जाते (प्रारंभानंतर विशेषाधिकार रीसेट केले जातात). विलग मोडमध्ये प्रोग्राम चालविण्यासाठी, फायरजेल युटिलिटीला युक्तिवाद म्हणून अनुप्रयोगाचे नाव निर्दिष्ट करा, उदाहरणार्थ, "फायरजेल फायरफॉक्स" किंवा "सुडो फायरजेल /etc/init.d/nginx start".
फायरजेलची मुख्य बातमी ०.९.७२
या नवीन आवृत्तीत आम्हाला ते सापडेल seccomp सिस्टम कॉल फिल्टर जोडले नेमस्पेस निर्मिती अवरोधित करण्यासाठी (सक्षम करण्यासाठी “–प्रतिबंधित-नामस्थान” पर्याय जोडला). सिस्टम कॉल टेबल्स आणि seccomp गट अद्यतनित केले.
मोड सुधारला आहे सक्ती-कोणतेही खाजगी (NO_NEW_PRIVS) हे सुरक्षा हमी सुधारते आणि नवीन प्रक्रियांना अतिरिक्त विशेषाधिकार मिळवण्यापासून रोखण्यासाठी आहे.
आणखी एक बदल जो वेगळा आहे तो म्हणजे तुमची स्वतःची AppArmor प्रोफाइल वापरण्याची क्षमता जोडली गेली (कनेक्शनसाठी “–apparmor” हा पर्याय सुचवला आहे).
आम्ही ते देखील शोधू शकतो नेट्रेस नेटवर्क ट्रॅफिक मॉनिटरिंग सिस्टम, जे प्रत्येक पत्त्याच्या IP आणि रहदारीच्या तीव्रतेबद्दल माहिती प्रदर्शित करते, ICMP ला समर्थन देते आणि “–dnstrace”, “–icmptrace”, आणि “–snitrace” पर्याय पुरवते.
च्या इतर बदल की:
- –cgroup आणि –shell कमांड काढून टाकले (डिफॉल्ट –shell=none आहे).
- फायरटनेल बिल्ड डीफॉल्टनुसार थांबते.
- /etc/firejail/firejail.config मध्ये chroot, खाजगी-lib आणि ट्रेसलॉग कॉन्फिगरेशन अक्षम केले आहे.
- grsecurity साठी समर्थन काढले.
- modif: –cgroup कमांड काढली
- modif: --shell=none डीफॉल्ट म्हणून सेट करा
- modify: काढले --shell
- modif: configure.ac मध्ये फायरटनेल डीफॉल्टनुसार अक्षम केले आहे
- modif: grsecurity समर्थन काढले
- modif: डीफॉल्टनुसार /etc मध्ये ब्लॅकलिस्टेड फाइल्स लपवणे थांबवा
- जुने वर्तन (डीफॉल्टनुसार अक्षम)
- बग निराकरण: फ्लडिंग seccomp ऑडिट लॉग नोंदी
- बगफिक्स: --नेटलॉक काम करत नाही (त्रुटी: वैध सँडबॉक्स नाही)
शेवटी, ज्यांना प्रोग्राममध्ये स्वारस्य आहे, त्यांना हे माहित असले पाहिजे की ते C मध्ये लिहिलेले आहे, GPLv2 परवान्याअंतर्गत वितरित केले गेले आहे आणि कोणत्याही Linux वितरणावर चालू शकते. फायरजेल रेडी पॅकेजेस डेब फॉरमॅटमध्ये तयार केले जातात (डेबियन, उबंटू).
लिनक्सवर फायरजेल कसे स्थापित करावे?
आपल्या लिनक्स वितरणावर फायरजेल स्थापित करण्यास स्वारस्य असलेल्यांसाठी, ते सूचनांचे पालन करून हे करू शकतात जे आम्ही खाली सामायिक करतो.
डेबियन, उबंटू आणि डेरिव्हेटिव्ह्ज वर स्थापना अगदी सोपी आहे, पासून ते रिपॉझिटरीजमधून फायरजैल स्थापित करू शकतात त्याच्या वितरणाची किंवा ते तयार केलेले डेब पॅकेज डाउनलोड करू शकतात पासून खालील दुवा.
रिपॉझिटरीजमधून इंस्टॉलेशन निवडण्याच्या बाबतीत, फक्त टर्मिनल उघडा आणि खालील आदेश चालवा:
sudo apt-get install firejail
किंवा डेब पॅकेजेस डाऊनलोड करण्याचे ठरविल्यास, ते त्यांच्या पसंतीच्या पॅकेज मॅनेजर किंवा टर्मिनल वरुन कमांडसह इन्स्टॉल करू शकतात:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
आर्च लिनक्स आणि डेरिव्हेटिव्हजच्या बाबतीत येथून, फक्त चालवा:
sudo pacman -S firejail
सेटअप
एकदा इन्स्टॉलेशन पूर्ण झाल्यावर, आता आम्हाला सँडबॉक्स कॉन्फिगर करावे लागेल आणि आम्हाला अॅपआर्मोर सक्षम करावे लागेल.
टर्मिनलवरुन आपण टाईप करणार आहोत.
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
त्याचा वापर आणि समाकलन जाणून घेण्यासाठी आपण त्याच्या मार्गदर्शकाचा सल्ला घेऊ शकता पुढील लिंकवर