Фирејаил је оквир који развија систем за изоловано извршавање графичких апликација, конзола и сервер. Коришћење Фирејаила минимализује ризик од угрожавања система главни када се покрећу непоуздани или потенцијално рањиви програми. Програм је написан на Ц језику, дистрибуира се под лиценцом ГПЛв2 и може радити на било којој Линук дистрибуцији.
Фирејаил користи просторе имена, АппАрмор и филтрирање системских позива (сеццомп-бпф) на Линук-у ради изолације. Једном покренути, програм и сви његови подређени процеси користе одвојене репрезентације ресурса језгра, као што су мрежни стек, табела процеса и тачке монтирања.
Зависне апликације могу се комбиновати у заједничком песковнику. По жељи се Фирејаил може користити и за покретање Доцкер, ЛКСЦ и ОпенВЗ контејнера.
О Фирејаилу
За разлику од алата за изолацију контејнера, Фирејаил је изузетно једноставан за конфигурисање и не захтева припрему системске слике: састав контејнера се формира на основу садржаја тренутног система датотека и уклања након завршетка апликације.
Se обезбедити флексибилне алате за постављање правила приступа систему датотека, можете утврдити којим датотекама и директоријумима је одбијен или одбијен приступ, повезати привремене системе датотека (тмпфс) за податке, ограничити приступ само за читање датотекама или директоријумима, комбиновати директоријуме помоћу бинд-моунт-а и оверлаифова.
За велики број популарних апликација, укључујући Фирефок, Цхромиум, ВЛЦ, између осталог, припремљени су и профили за изолацију системских позива.
Да би се стекле потребне привилегије за постављање песковника, извршна датотека фирејаил се инсталира са СУИД роот заставом (након иницијализације привилегије се ресетују).
Шта је ново у Фирејаилу 0.9.62?
У овој новој верзији је истакнуто да долази са више профила додатих за покретање апликације изоловани са којима укупан број профила досеже до 884.
Поред тога подешавање ограничења копирања датотеке је додато у конфигурациону датотеку /етц/фирејаил/фирејаил.цонфиг, Ово вам омогућава да ограничите величину датотека које ће се копирати у меморију помоћу опција „–привате- *“ (подразумевано је ограничење постављено на 500 МБ).
Цхроот позив се сада не врши на основу путање, већ користи тачке монтирања на основу дескриптора датотеке.
Од осталих промена:
- У профилима је дозвољена употреба програма за отклањање грешака.
- Побољшано филтрирање системских позива помоћу сеццомп механизма.
- Омогућено је аутоматско откривање заставица компајлера.
- Директоријум / уср / схаре је на белој листи за разне профиле.
- Нове помоћне скрипте гдб-фирејаил.сх и сорт.пи додане су у одељак цонриб.
- Побољшана заштита у привилегованој фази извршења кода (СУИД).
- За профиле су примењени нови условни знакови ХАС_Кс11 и ХАС_НЕТ да би се потврдило присуство Кс сервера и приступ мрежи.
Како инсталирати Фирејаил на Линук?
За оне који су заинтересовани за могућност инсталирања Фирејаила на своју Линук дистрибуцију, они то могу учинити пратећи упутства које делимо у наставку.
На Дебиану, Убунтуу и дериватима инсталација је прилично једноставна од могу инсталирати Фирејаил из спремишта његове дистрибуције или могу преузети припремљене деб пакете од соурцефорге.
У случају да одаберете инсталацију из спремишта, само отворите терминал и извршите следећу наредбу:
sudo apt-get install firejail
Или ако су одлучили да преузму деб пакете, могу да инсталирају помоћу свог жељеног менаџера пакета или са терминала са командом:
sudo dpkg -i firejail_0.9.62_1*.deb
Док за случај Арцх Линук-а и деривата од овога, само покрените:
sudo pacman -S firejail
За случај Федоре, РХЕЛ, ЦентОС, ОпенСУСЕ или било која друга дистрибуција са подршком за рпм пакете од којих пакете може добити следећи линк.
А инсталација се врши са:
sudo rpm -i firejail-0.9.62-1.x86_64.rpm
конфигурација
Када се инсталација заврши, сада ћемо морати да конфигуришемо песковник, а такође морамо да омогућимо и АппАрмор.
Из терминала ћемо откуцати:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Да бисте знали његову употребу и интеграцију, можете потражити водич У следећем линку.