Firejail 0.9.72 kommer med sikkerhetsforbedringer og mer

Darkcrizt

4 minutter

firejail_crop

Firejail er et SUID-program som reduserer risikoen for sikkerhetsbrudd ved å begrense applikasjonskjøringsmiljøet

Annonserte lanseringen av ny versjon av Firejail-prosjektet 0.9.72, som utvikler seg et system for isolert utførelse av grafiske applikasjoner, konsoll og server, som lar deg minimere risikoen for å kompromittere hovedsystemet ved å kjøre uklarerte eller potensielt sårbare programmer.

For isolasjon, Firejail bruke navneområder, AppArmor og systemanropsfiltrering (seccomp-bpf) på Linux. Når det er startet, bruker programmet og alle dets underordnede prosesser separate representasjoner av kjerneressurser, for eksempel nettverksstabelen, prosesstabellen og monteringspunkter.

Applikasjoner som er avhengige av hverandre kan kombineres til en felles sandkasse. Om ønskelig kan Firejail også brukes til å kjøre Docker-, LXC- og OpenVZ-containere.

Mange populære apper, inkludert Firefox, Chromium, VLC og Transmission, har forhåndskonfigurerte systemanropsisolasjonsprofiler. For å få de nødvendige privilegiene for å sette opp et sandkassemiljø, installeres den kjørbare firejail-filen med SUID-rotprompten (privilegiene tilbakestilles etter initialisering). For å kjøre et program i isolert modus, spesifiser applikasjonsnavnet som et argument til firejail-verktøyet, for eksempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".

Hovednyheter fra Firejail 0.9.72

I denne nye versjonen kan vi finne det lagt til secomp systemanropsfilter for å blokkere opprettelse av navnerom (lagt til alternativet "–begrens-navneområder" for å aktivere). Oppdaterte systemanropstabeller og seccomp-grupper.

modus er forbedret force-nonewprivs (NO_NEW_PRIVS) Den forbedrer sikkerhetsgarantiene og er ment å forhindre at nye prosesser får ytterligere privilegier.

En annen endring som skiller seg ut er at muligheten til å bruke dine egne AppArmor-profiler ble lagt til (alternativet "–apparmor" er foreslått for tilkoblingen).

Vi kan også finne det nettrace nettverkstrafikkovervåkingssystem, som viser informasjon om IP-en og trafikkintensiteten til hver adresse, støtter ICMP og gir alternativene "–dnstrace", "–icmptrace" og "–snitrace".

Av andre endringer som skiller seg ut:

  • Fjernet kommandoene –cgroup og –shell (standard er –shell=ingen).
  • Firetunnel-bygging stopper som standard.
  • Deaktivert chroot, private-lib og tracelog-konfigurasjon i /etc/firejail/firejail.config.
  • Fjernet støtte for grsecurity.
  • modif: fjernet –cgroup-kommandoen
  • modif: sett --shell=ingen som standard
  • endre: fjernet --shell
  • modif: Firetunnel deaktivert som standard i configure.ac
  • modif: fjernet grsecurity-støtte
  • modif: slutt å skjule svartelistede filer i /etc som standard
  • gammel oppførsel (deaktivert som standard)
  • feilretting: oversvømmer seccomp revisjonsloggoppføringer
  • feilretting: --netlock fungerer ikke (Feil: ingen gyldig sandkasse)

Til slutt, for de som er interessert i programmet, bør de vite at det er skrevet i C, distribueres under GPLv2-lisensen og kan kjøres på hvilken som helst Linux-distribusjon. Firejail Ready-pakker er utarbeidet i deb-formater (Debian, Ubuntu).

Hvordan installere Firejail på Linux?

For de som er interessert i å kunne installere Firejail på sin Linux-distribusjon, de kan gjøre det ved å følge instruksjonene som vi deler nedenfor.

På Debian, Ubuntu og derivater installasjonen er ganske enkel, siden de kan installere Firejail fra repositoriene av distribusjonen eller de kan laste ned de forberedte deb-pakkene fra følgende lenke.

I tilfelle du velger installasjonen fra arkivene, er det bare å åpne en terminal og utføre følgende kommando:

sudo apt-get install firejail

Eller hvis de bestemte seg for å laste ned deb-pakkene, kan de installere med sin foretrukne pakkebehandling eller fra terminalen med kommandoen:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Mens det gjelder Arch Linux og derivater fra dette er det bare å løpe:

sudo pacman -S firejail

Konfigurasjon

Når installasjonen er ferdig, må vi konfigurere sandkassen, og vi må også ha AppArmor aktivert.

Fra en terminal skal vi skrive:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

For å kjenne bruken og integreringen kan du se i guiden I den følgende lenken.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.