Firejail — это программа SUID, которая снижает риск нарушений безопасности за счет ограничения среды выполнения приложений.
Объявлено о запуске новая версия проекта Firejail 0.9.72, который развивается система изолированного выполнения графических приложений, консоль и сервер, что позволяет минимизировать риск компрометации основной системы запуском недоверенных или потенциально уязвимых программ.
Для изоляции, Firejail использовать пространства имен, AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все ее дочерние процессы используют отдельные представления ресурсов ядра, такие как сетевой стек, таблица процессов и точки монтирования.
Приложения, которые зависят друг от друга, могут быть объединены в общую песочницу. При желании Firejail также можно использовать для запуска контейнеров Docker, LXC и OpenVZ.
Многие популярные приложения, включая Firefox, Chromium, VLC и Transmission, имеют предварительно настроенные профили изоляции системных вызовов. Чтобы получить необходимые привилегии для настройки изолированной среды, исполняемый файл firejail устанавливается с корневой подсказкой SUID (привилегии сбрасываются после инициализации). Чтобы запустить программу в изолированном режиме, просто укажите имя приложения в качестве аргумента утилите firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».
Главные новости Firejail 0.9.72
В этой новой версии мы можем найти, что добавлен фильтр системных вызовов seccomp для блокировки создания пространств имен (добавлена опция «–restrict-namespaces» для включения). Обновлены таблицы системных вызовов и группы seccomp.
режим был улучшен Force-nonewprivs (NO_NEW_PRIVS) Он улучшает гарантии безопасности и предназначен для предотвращения получения новых процессов дополнительными привилегиями.
Еще одно примечательное изменение — добавлена возможность использовать собственные профили AppArmor (для подключения предлагается опция «—apparmor»).
Мы также можем найти, что система мониторинга сетевого трафика nettrace, который отображает информацию об IP и интенсивности трафика каждого адреса, поддерживает ICMP и предоставляет опции «–dnstrace», «–icmptrace» и «–snitrace».
Из другие выделяющиеся изменения:
- Удалены команды –cgroup и –shell (по умолчанию –shell=none).
- Сборка Firetunnel останавливается по умолчанию.
- Отключена конфигурация chroot, private-lib и tracelog в /etc/firejail/firejail.config.
- Удалена поддержка grsecurity.
- modif: удалена команда –cgroup
- modif: установить --shell=none по умолчанию
- изменить: удален --shell
- modif: Firetunnel отключен по умолчанию в configure.ac
- modif: удалена поддержка grsecurity
- modif: перестать скрывать файлы из черного списка в /etc по умолчанию
- старое поведение (по умолчанию отключено)
- исправление ошибки: наводнение записей журнала аудита seccomp
- Исправление: --netlock не работает (ошибка: нет допустимой песочницы)
Наконец, для тех, кто заинтересован в программе, они должны знать, что она написана на C, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux. Пакеты Firejail Ready готовятся в форматах deb (Debian, Ubuntu).
Как установить Firejail в Linux?
Для тех, кто заинтересован в возможности установить Firejail на свой дистрибутив Linux, они могут сделать это, следуя инструкциям которые мы делимся ниже.
На Debian, Ubuntu и производных установка достаточно проста, т.к. они могут установить Firejail из репозиториев его распространения или они могут скачать подготовленные пакеты deb от по следующей ссылке.
В случае выбора установки из репозиториев просто откройте терминал и выполните следующую команду:
sudo apt-get install firejail
Или, если они решили загрузить пакеты deb, они могут установить их с помощью предпочитаемого диспетчера пакетов или из терминала с помощью команды:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
А в случае с Arch Linux и производными отсюда просто запустите:
sudo pacman -S firejail
конфигурация
После завершения установки нам нужно будет настроить песочницу, а также включить AppArmor.
С терминала мы собираемся набрать:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Чтобы узнать о его использовании и интеграции, вы можете обратиться к его руководству По следующей ссылке.
Будьте первым, чтобы комментировать