Firejail 0.9.72 выходит с улучшениями безопасности и многим другим

firejail_crop

Firejail — это программа SUID, которая снижает риск нарушений безопасности за счет ограничения среды выполнения приложений.

Объявлено о запуске новая версия проекта Firejail 0.9.72, который развивается система изолированного выполнения графических приложений, консоль и сервер, что позволяет минимизировать риск компрометации основной системы запуском недоверенных или потенциально уязвимых программ.

Для изоляции, Firejail использовать пространства имен, AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все ее дочерние процессы используют отдельные представления ресурсов ядра, такие как сетевой стек, таблица процессов и точки монтирования.

Приложения, которые зависят друг от друга, могут быть объединены в общую песочницу. При желании Firejail также можно использовать для запуска контейнеров Docker, LXC и OpenVZ.

Многие популярные приложения, включая Firefox, Chromium, VLC и Transmission, имеют предварительно настроенные профили изоляции системных вызовов. Чтобы получить необходимые привилегии для настройки изолированной среды, исполняемый файл firejail устанавливается с корневой подсказкой SUID (привилегии сбрасываются после инициализации). Чтобы запустить программу в изолированном режиме, просто укажите имя приложения в качестве аргумента утилите firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».

Главные новости Firejail 0.9.72

В этой новой версии мы можем найти, что добавлен фильтр системных вызовов seccomp для блокировки создания пространств имен (добавлена ​​опция «–restrict-namespaces» для включения). Обновлены таблицы системных вызовов и группы seccomp.

режим был улучшен Force-nonewprivs (NO_NEW_PRIVS) Он улучшает гарантии безопасности и предназначен для предотвращения получения новых процессов дополнительными привилегиями.

Еще одно примечательное изменение — добавлена ​​возможность использовать собственные профили AppArmor (для подключения предлагается опция «—apparmor»).

Мы также можем найти, что система мониторинга сетевого трафика nettrace, который отображает информацию об IP и интенсивности трафика каждого адреса, поддерживает ICMP и предоставляет опции «–dnstrace», «–icmptrace» и «–snitrace».

Из другие выделяющиеся изменения:

  • Удалены команды –cgroup и –shell (по умолчанию –shell=none).
  • Сборка Firetunnel останавливается по умолчанию.
  • Отключена конфигурация chroot, private-lib и tracelog в /etc/firejail/firejail.config.
  • Удалена поддержка grsecurity.
  • modif: удалена команда –cgroup
  • modif: установить --shell=none по умолчанию
  • изменить: удален --shell
  • modif: Firetunnel отключен по умолчанию в configure.ac
  • modif: удалена поддержка grsecurity
  • modif: перестать скрывать файлы из черного списка в /etc по умолчанию
  • старое поведение (по умолчанию отключено)
  • исправление ошибки: наводнение записей журнала аудита seccomp
  • Исправление: --netlock не работает (ошибка: нет допустимой песочницы)

Наконец, для тех, кто заинтересован в программе, они должны знать, что она написана на C, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux. Пакеты Firejail Ready готовятся в форматах deb (Debian, Ubuntu).

Как установить Firejail в Linux?

Для тех, кто заинтересован в возможности установить Firejail на свой дистрибутив Linux, они могут сделать это, следуя инструкциям которые мы делимся ниже.

На Debian, Ubuntu и производных установка достаточно проста, т.к. они могут установить Firejail из репозиториев его распространения или они могут скачать подготовленные пакеты deb от по следующей ссылке.

В случае выбора установки из репозиториев просто откройте терминал и выполните следующую команду:

sudo apt-get install firejail

Или, если они решили загрузить пакеты deb, они могут установить их с помощью предпочитаемого диспетчера пакетов или из терминала с помощью команды:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

А в случае с Arch Linux и производными отсюда просто запустите:

sudo pacman -S firejail

конфигурация

После завершения установки нам нужно будет настроить песочницу, а также включить AppArmor.

С терминала мы собираемся набрать:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Чтобы узнать о его использовании и интеграции, вы можете обратиться к его руководству По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.