Firejail je program SUID, ktorý znižuje riziko narušenia bezpečnosti obmedzením prostredia vykonávania aplikácií
Oznámené spustenie programu nová verzia projektu Firejail 0.9.72, ktorá sa vyvíja systém na izolované vykonávanie grafických aplikácií, konzoly a servera, čo vám umožňuje minimalizovať riziko ohrozenia hlavného systému spustením nedôveryhodných alebo potenciálne zraniteľných programov.
Pre izoláciu, Firejail používať menné priestory, AppArmor a filtrovanie systémových hovorov (seccomp-bpf) v systéme Linux. Po spustení program a všetky jeho podriadené procesy používajú samostatné reprezentácie zdrojov jadra, ako je sieťový zásobník, tabuľka procesov a body pripojenia.
Aplikácie, ktoré sú na sebe závislé, je možné kombinovať do spoločného sandboxu. V prípade potreby možno Firejail použiť aj na spustenie kontajnerov Docker, LXC a OpenVZ.
Mnoho populárnych aplikácií, vrátane Firefox, Chromium, VLC a Transmission, má vopred nakonfigurované profily izolácie systémových hovorov. Ak chcete získať potrebné privilégiá na nastavenie prostredia v karanténe, spustiteľný súbor firejail sa nainštaluje s koreňovou výzvou SUID (privilégiá sa po inicializácii resetujú). Ak chcete spustiť program v izolovanom režime, jednoducho zadajte názov aplikácie ako argument obslužnému programu firejail, napríklad „firejail firefox“ alebo „sudo firejail /etc/init.d/nginx start“.
Hlavné správy o Firejail 0.9.72
V tejto novej verzii to môžeme nájsť pridaný filter systémových hovorov seccomp na blokovanie vytvárania priestoru názvov (pridaná možnosť „–obmedziť priestory názvov“ na povolenie). Aktualizované tabuľky systémových volaní a skupiny seccomp.
režim bol vylepšený force-nonewprivs (NO_NEW_PRIVS) Zlepšuje záruky bezpečnosti a má zabrániť novým procesom získať ďalšie privilégiá.
Ďalšou významnou zmenou je, že bola pridaná možnosť používať vlastné profily AppArmor (pre pripojenie sa navrhuje možnosť „–apparmor“).
Aj to môžeme nájsť systém monitorovania sieťovej prevádzky nettrace, ktorý zobrazuje informácie o IP a intenzite prevádzky každej adresy, podporuje ICMP a poskytuje možnosti „–dnstrace“, „–icmptrace“ a „–snitrace“.
Z ďalšie zmeny, ktoré vynikajú:
- Odstránili sa príkazy –cgroup a –shell (predvolené je –shell=none).
- Vytváranie Firetunelu sa predvolene zastaví.
- Zakázaná konfigurácia chroot, private-lib a tracelog v /etc/firejail/firejail.config.
- Odstránená podpora pre grsecurity.
- modif: odstránil príkaz –cgroup
- modif: nastaviť --shell=none ako predvolené
- upraviť: odstránené --shell
- modif: Firetunnel je predvolene vypnutý v konfiguračnom.ac
- modif: odstránená podpora grsecurity
- modif: predvolene prestane skrývať súbory na čiernej listine v /etc
- staré správanie (v predvolenom nastavení zakázané)
- oprava chyby: zahlcovanie záznamov protokolu auditu seccomp
- oprava chyby: --netlock nefunguje (Chyba: nie je platný karantén)
Na záver, pre tých, ktorí sa o program zaujímajú, by mali vedieť, že je napísaný v jazyku C, je distribuovaný pod licenciou GPLv2 a môže bežať na akejkoľvek linuxovej distribúcii. Balíky Firejail Ready sú pripravené vo formátoch deb (Debian, Ubuntu).
Ako nainštalovať Firejail na Linuxe?
Pre tých, ktorí majú záujem o inštaláciu Firejailu na svojej distribúcii Linuxu, môžu to urobiť podľa pokynov ktoré zdieľame nižšie.
Na Debiane, Ubuntu a derivátoch inštalácia je pomerne jednoduchá, pretože môžu nainštalovať Firejail z archívov jeho distribúcie alebo si môžu stiahnuť pripravené deb balíčky z nasledujúci odkaz.
V prípade výberu inštalácie z úložísk stačí otvoriť terminál a vykonať nasledujúci príkaz:
sudo apt-get install firejail
Alebo ak sa rozhodnú stiahnuť deb balíčky, môžu nainštalovať pomocou svojho preferovaného správcu balíkov alebo z terminálu pomocou príkazu:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
Zatiaľ čo pre prípad Arch Linuxu a derivátov z toho stačí spustiť:
sudo pacman -S firejail
konfigurácia
Po dokončení inštalácie teraz budeme musieť nakonfigurovať karanténu a tiež musíme mať povolený AppArmor.
Z terminálu napíšeme:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
O jeho použití a integrácii sa dozviete v jeho sprievodcovi Na nasledujúcom odkaze.