Mengumumkan pelancaran versi baharu projek Firejail 0.9.72, yang berkembang sistem untuk pelaksanaan terpencil bagi aplikasi grafik, konsol dan pelayan, yang membolehkan anda meminimumkan risiko menjejaskan sistem utama dengan menjalankan program yang tidak dipercayai atau berpotensi terdedah.
Untuk pengasingan, Firejail gunakan ruang nama, AppArmor dan penapisan panggilan sistem (seccomp-bpf) pada Linux. Setelah dimulakan, program dan semua proses anaknya menggunakan perwakilan sumber kernel yang berasingan, seperti susunan rangkaian, jadual proses dan titik lekap.
Aplikasi yang bergantung antara satu sama lain boleh digabungkan menjadi kotak pasir biasa. Jika dikehendaki, Firejail juga boleh digunakan untuk menjalankan bekas Docker, LXC dan OpenVZ.
Banyak apl popular, termasuk Firefox, Chromium, VLC dan Transmisi, mempunyai profil pengasingan panggilan sistem yang diprakonfigurasikan. Untuk mendapatkan keistimewaan yang diperlukan untuk menyediakan persekitaran kotak pasir, penjara api boleh laku dipasang dengan gesaan akar SUID (keistimewaan ditetapkan semula selepas permulaan). Untuk menjalankan program dalam mod terpencil, hanya nyatakan nama aplikasi sebagai hujah kepada utiliti firejail, contohnya, "firejail firefox" atau "sudo firejail /etc/init.d/nginx start".
Berita utama Firejail 0.9.72
Dalam versi baru ini kita dapati menambah penapis panggilan sistem seccom untuk menyekat penciptaan ruang nama (tambah pilihan “–restrict-namespaces” untuk membolehkan). Jadual panggilan sistem dan kumpulan seccom dikemas kini.
mod telah ditambah baik force-nonewprivs (NO_NEW_PRIVS) Ia meningkatkan jaminan keselamatan dan bertujuan untuk menghalang proses baharu daripada mendapat keistimewaan tambahan.
Satu lagi perubahan yang menonjol ialah keupayaan untuk menggunakan profil AppArmor anda sendiri telah ditambahkan (pilihan "–apparmor" dicadangkan untuk sambungan).
Kita juga dapat menjumpainya sistem pemantauan trafik rangkaian nettrace, yang memaparkan maklumat tentang IP dan intensiti trafik setiap alamat, menyokong ICMP dan menyediakan pilihan “–dnstrace”, “–icmptrace”, dan “–snitrace”.
Daripada perubahan lain yang menonjol:
- Mengalih keluar arahan –cgroup dan –shell (lalai ialah –shell=none).
- Binaan Firetunnel terhenti secara lalai.
- Konfigurasi chroot, private-lib dan tracelog dilumpuhkan dalam /etc/firejail/firejail.config.
- Mengalih keluar sokongan untuk grsecurity.
- modif: mengalih keluar arahan –cgroup
- modif: tetapkan --shell=none sebagai lalai
- ubah suai: dialih keluar --shell
- modif: Firetunnel dilumpuhkan secara lalai dalam configure.ac
- modif: mengalih keluar sokongan grsecurity
- modif: berhenti menyembunyikan fail yang disenaraihitamkan dalam /etc secara lalai
- tingkah laku lama (dilumpuhkan secara lalai)
- pembetulan pepijat: membanjiri entri log audit seccom
- pembaikan pepijat: --netlock tidak berfungsi (Ralat: tiada kotak pasir yang sah)
Akhir sekali, bagi mereka yang berminat dengan program ini, mereka harus tahu bahawa ia ditulis dalam C, diedarkan di bawah lesen GPLv2, dan boleh dijalankan pada mana-mana pengedaran Linux. Pakej Firejail Ready disediakan dalam format deb (Debian, Ubuntu).
Bagaimana cara memasang Firejail di Linux?
Bagi mereka yang berminat untuk memasang Firejail pada edaran Linux mereka, mereka dapat melakukannya mengikut arahan yang kami kongsikan di bawah.
Pada Debian, Ubuntu dan derivatif pemasangan adalah agak mudah, kerana mereka boleh memasang Firejail dari repositori pengedarannya atau mereka boleh memuat turun pakej deb yang telah disediakan daripada pautan berikut.
Sekiranya memilih pemasangan dari repositori, cukup buka terminal dan jalankan arahan berikut:
sudo apt-get install firejail
Atau jika mereka memutuskan untuk memuat turun pakej deb, mereka boleh memasang dengan pengurus pakej pilihan mereka atau dari terminal dengan arahan:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
Manakala untuk kes Arch Linux dan derivatif dari ini, jalankan:
sudo pacman -S firejail
konfigurasi
Setelah pemasangan selesai, sekarang kita harus mengkonfigurasi kotak pasir dan kita juga harus mengaktifkan AppArmor.
Dari terminal kita akan menaip:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Untuk mengetahui penggunaan dan penyatuannya, anda boleh merujuk panduannya Dalam pautan berikut.