Firejail 0.9.72 arriveert met beveiligingsverbeteringen en meer

Darkcrizt

4 minuten

firejail_crop

Firejail is een SUID-programma dat het risico op beveiligingsinbreuken verkleint door de uitvoeringsomgeving van applicaties te beperken

Kondigde de lancering aan van de nieuwe versie van het Firejail-project 0.9.72, die zich ontwikkelt een systeem voor het geïsoleerd uitvoeren van grafische toepassingen, console en server, waarmee u het risico kunt minimaliseren dat u het hoofdsysteem in gevaar brengt door niet-vertrouwde of potentieel kwetsbare programma's uit te voeren.

Voor isolatie, Firejail gebruik naamruimten, AppArmor en systeemoproepfiltering (seccomp-bpf) op Linux. Eenmaal gestart, gebruiken het programma en al zijn onderliggende processen afzonderlijke representaties van kernelbronnen, zoals de netwerkstack, procestabel en koppelpunten.

Applicaties die van elkaar afhankelijk zijn kunnen gecombineerd worden in een gemeenschappelijke sandbox. Indien gewenst kan Firejail ook worden gebruikt om Docker-, LXC- en OpenVZ-containers uit te voeren.

Veel populaire apps, waaronder Firefox, Chromium, VLC en Transmission, hebben vooraf geconfigureerde isolatieprofielen voor systeemoproepen. Om de nodige privileges te verkrijgen om een ​​sandbox-omgeving op te zetten, wordt het uitvoerbare bestand van firejail geïnstalleerd met de SUID-rootprompt (privileges worden gereset na initialisatie). Om een ​​programma in geïsoleerde modus uit te voeren, geeft u gewoon de toepassingsnaam op als argument voor het hulpprogramma firejail, bijvoorbeeld "firejail firefox" of "sudo firejail /etc/init.d/nginx start".

Belangrijkste nieuws van Firejail 0.9.72

In deze nieuwe versie kunnen we dat vinden seccomp-systeemoproepfilter toegevoegd om het maken van naamruimten te blokkeren (optie "–restrict-namespaces" toegevoegd om in te schakelen). Bijgewerkte systeemoproeptabellen en seccomp-groepen.

modus is verbeterd forceer geen nieuwe privs (NO_NEW_PRIVS) Het verbetert de veiligheidsgaranties en is bedoeld om te voorkomen dat nieuwe processen extra rechten krijgen.

Een andere verandering die opvalt, is dat de mogelijkheid is toegevoegd om uw eigen AppArmor-profielen te gebruiken (de optie “–apparmor” wordt voorgesteld voor de verbinding).

Dat kunnen we ook vinden het netwerkverkeersbewakingssysteem van nettrace, die informatie weergeeft over het IP-adres en de verkeersintensiteit van elk adres, ondersteunt ICMP en biedt de opties “–dnstrace”, “–icmptrace” en “–snitrace”.

Van de andere opvallende veranderingen:

  • De opdrachten –cgroup en –shell verwijderd (standaard is –shell=none).
  • Firetunnel-build stopt standaard.
  • Uitgeschakelde chroot-, private-lib- en tracelog-configuratie in /etc/firejail/firejail.config.
  • Ondersteuning voor grsecurity verwijderd.
  • modif: de opdracht –cgroup verwijderd
  • modif: stel --shell=none in als standaard
  • wijzigen: verwijderd --shell
  • modif: Firetunnel standaard uitgeschakeld in configure.ac
  • modif: grsecurity-ondersteuning verwijderd
  • modif: stop standaard met het verbergen van bestanden op de zwarte lijst in /etc
  • oud gedrag (standaard uitgeschakeld)
  • bugfix: overstromingen van seccomp-auditlogboekvermeldingen
  • bugfix: --netlock werkt niet (Fout: geen geldige sandbox)

Ten slotte moeten degenen die geïnteresseerd zijn in het programma weten dat het is geschreven in C, wordt gedistribueerd onder de GPLv2-licentie en op elke Linux-distributie kan worden uitgevoerd. Firejail Ready-pakketten worden voorbereid in deb-indelingen (Debian, Ubuntu).

Hoe installeer ik Firejail op Linux?

Voor degenen die geïnteresseerd zijn in het kunnen installeren van Firejail op hun Linux-distributie, ze kunnen het doen door de instructies te volgen die we hieronder delen.

Op Debian, Ubuntu en derivaten de installatie is vrij eenvoudig, aangezien ze kunnen Firejail installeren vanuit de repositories van zijn distributie of ze kunnen de voorbereide deb-pakketten downloaden van de volgende link.

In het geval dat u de installatie uit de repositories kiest, opent u gewoon een terminal en voert u de volgende opdracht uit:

sudo apt-get install firejail

Of als ze besloten hebben om de deb-pakketten te downloaden, kunnen ze het installeren met hun geprefereerde pakketbeheerder of vanaf de terminal met het commando:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

In het geval van Arch Linux en derivaten van hieruit, voer gewoon uit:

sudo pacman -S firejail

configuratie

Zodra de installatie is voltooid, moeten we nu de sandbox configureren en moeten we ook AppArmor hebben ingeschakeld.

Vanaf een terminal gaan we typen:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Om het gebruik en de integratie ervan te kennen, kunt u de gids raadplegen In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.