Firejail 0.9.72 выходит с улучшениями безопасности и многим другим

firejail_crop

Firejail — это программа SUID, которая снижает риск нарушений безопасности за счет ограничения среды выполнения приложений.

Объявлено о запуске новая версия проекта Firejail 0.9.72, который развивается система изолированного выполнения графических приложений, консоль и сервер, что позволяет минимизировать риск компрометации основной системы запуском недоверенных или потенциально уязвимых программ.

Для изоляции, Firejail использовать пространства имен, AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все ее дочерние процессы используют отдельные представления ресурсов ядра, такие как сетевой стек, таблица процессов и точки монтирования.

Приложения, которые зависят друг от друга, могут быть объединены в общую песочницу. При желании Firejail также можно использовать для запуска контейнеров Docker, LXC и OpenVZ.

Многие популярные приложения, включая Firefox, Chromium, VLC и Transmission, имеют предварительно настроенные профили изоляции системных вызовов. Чтобы получить необходимые привилегии для настройки изолированной среды, исполняемый файл firejail устанавливается с корневой подсказкой SUID (привилегии сбрасываются после инициализации). Чтобы запустить программу в изолированном режиме, просто укажите имя приложения в качестве аргумента утилите firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».

Главные новости Firejail 0.9.72

В этой новой версии мы можем найти, что добавлен фильтр системных вызовов seccomp для блокировки создания пространств имен (добавлена ​​опция «–restrict-namespaces» для включения). Обновлены таблицы системных вызовов и группы seccomp.

режим был улучшен Force-nonewprivs (NO_NEW_PRIVS) Он улучшает гарантии безопасности и предназначен для предотвращения получения новых процессов дополнительными привилегиями.

Еще одно примечательное изменение — добавлена ​​возможность использовать собственные профили AppArmor (для подключения предлагается опция «—apparmor»).

Мы также можем найти, что система мониторинга сетевого трафика nettrace, который отображает информацию об IP и интенсивности трафика каждого адреса, поддерживает ICMP и предоставляет опции «–dnstrace», «–icmptrace» и «–snitrace».

Из другие выделяющиеся изменения:

  • Удалены команды –cgroup и –shell (по умолчанию –shell=none).
  • Сборка Firetunnel останавливается по умолчанию.
  • Отключена конфигурация chroot, private-lib и tracelog в /etc/firejail/firejail.config.
  • Удалена поддержка grsecurity.
  • modif: удалена команда –cgroup
  • modif: установить --shell=none по умолчанию
  • изменить: удален --shell
  • modif: Firetunnel отключен по умолчанию в configure.ac
  • modif: удалена поддержка grsecurity
  • modif: перестать скрывать файлы из черного списка в /etc по умолчанию
  • старое поведение (по умолчанию отключено)
  • исправление ошибки: наводнение записей журнала аудита seccomp
  • Исправление: --netlock не работает (ошибка: нет допустимой песочницы)

Наконец, для тех, кто заинтересован в программе, они должны знать, что она написана на C, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux. Пакеты Firejail Ready готовятся в форматах deb (Debian, Ubuntu).

Как установить Firejail в Linux?

Для тех, кто заинтересован в возможности установить Firejail на свой дистрибутив Linux, они могут сделать это, следуя инструкциям которые мы делимся ниже.

На Debian, Ubuntu и производных установка достаточно проста, т.к. они могут установить Firejail из репозиториев его распространения или они могут скачать подготовленные пакеты deb от по следующей ссылке.

В случае выбора установки из репозиториев просто откройте терминал и выполните следующую команду:

sudo apt-get install firejail

Или, если они решили загрузить пакеты deb, они могут установить их с помощью предпочитаемого диспетчера пакетов или из терминала с помощью команды:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

А в случае с Arch Linux и производными отсюда просто запустите:

sudo pacman -S firejail

конфигурация

После завершения установки нам нужно будет настроить песочницу, а также включить AppArmor.

С терминала мы собираемся набрать:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Чтобы узнать о его использовании и интеграции, вы можете обратиться к его руководству По следующей ссылке.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.