Фирејаил је СУИД програм који смањује ризик од нарушавања безбедности ограничавањем окружења за извршавање апликације
Најавио је покретање нова верзија Фирејаил пројекта 0.9.72, који се развија систем за изоловано извођење графичких апликација, конзолу и сервер, што вам омогућава да минимизирате ризик од компромитовања главног система покретањем непоузданих или потенцијално рањивих програма.
За изолацију, Ватрогасни затвор користите просторе имена, АппАрмор и филтрирање системских позива (сеццомп-бпф) на Линук-у. Једном покренут, програм и сви његови подређени процеси користе одвојене приказе ресурса кернела, као што су мрежни стек, табела процеса и тачке монтирања.
Апликације које зависе једна од друге могу се комбиновати у заједнички сандбок. По жељи, Фирејаил се такође може користити за покретање Доцкер, ЛКСЦ и ОпенВЗ контејнера.
Многе популарне апликације, укључујући Фирефок, Цхромиум, ВЛЦ и Трансмиссион, имају унапред конфигурисане профиле за изолацију системских позива. Да бисте стекли потребне привилегије за подешавање окружења у заштићеном окружењу, извршни фајл фирејаил се инсталира са СУИД роот промптом (привилегије се ресетују након иницијализације). Да бисте покренули програм у изолованом режиму, једноставно наведите име апликације као аргумент услужном програму фирејаил, на пример, "фирејаил фирефок" или "судо фирејаил /етц/инит.д/нгинк старт".
Главне вести Фирејаила 0.9.72
У овој новој верзији то можемо пронаћи додат сеццомп филтер системских позива да блокира креирање именског простора (додата опција „–рестрицт-намеспацес“ за омогућавање). Ажуриране табеле системских позива и сеццомп групе.
режим је побољшан форце-ноневпривс (НО_НЕВ_ПРИВС) Побољшава безбедносне гаранције и има за циљ да спречи нове процесе да добију додатне привилегије.
Још једна промена која се истиче јесте да је додата могућност коришћења сопствених АппАрмор профила (опција „–аппармор“ се предлаже за везу).
То такође можемо наћи Неттраце систем за праћење мрежног саобраћаја, који приказује информације о ИП и интензитету саобраћаја сваке адресе, подржава ИЦМП и пружа опције „–днстраце“, „–ицмптраце“ и „–снитраце“.
Оф тхе друге истакнуте промене:
- Уклоњене су команде –цгроуп и –схелл (подразумевано је –схелл=ноне).
- Изградња Фиретунела се подразумевано зауставља.
- Онемогућена конфигурација цхроот, привате-либ и трацелог у /етц/фирејаил/фирејаил.цонфиг.
- Уклоњена подршка за грсецурити.
- модиф: уклонио команду –цгроуп
- модиф: постави --схелл=ноне као подразумевано
- модификовати: уклоњено -- љуска
- модиф: Фиретуннел је подразумевано онемогућен у цонфигуре.ац
- модиф: уклоњена подршка за грсецурити
- модиф: подразумевано престани да кријеш датотеке са црне листе у /етц
- старо понашање (подразумевано онемогућено)
- исправка грешке: поплава сеццомп уноса у дневник ревизије
- исправка грешке: --нетлоцк не ради (Грешка: нема важеће сандбок)
Коначно, за оне који су заинтересовани за програм, требало би да знају да је написан на Ц, да се дистрибуира под ГПЛв2 лиценцом и да може да ради на било којој Линук дистрибуцији. Фирејаил Реади пакети су припремљени у деб форматима (Дебиан, Убунту).
Како инсталирати Фирејаил на Линук?
За оне који су заинтересовани за могућност инсталирања Фирејаила на своју Линук дистрибуцију, они то могу учинити пратећи упутства које делимо у наставку.
На Дебиану, Убунтуу и дериватима инсталација је прилично једноставна, јер могу инсталирати Фирејаил из спремишта његове дистрибуције или могу преузети припремљене деб пакете од следећи линк.
У случају да одаберете инсталацију из спремишта, само отворите терминал и извршите следећу наредбу:
sudo apt-get install firejail
Или ако су одлучили да преузму деб пакете, могу да инсталирају помоћу свог жељеног менаџера пакета или са терминала са командом:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
Док за случај Арцх Линук-а и деривата од овога, само покрените:
sudo pacman -S firejail
конфигурација
Када се инсталација заврши, сада ћемо морати да конфигуришемо песковник, а такође морамо да омогућимо и АппАрмор.
Из терминала ћемо откуцати:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Да бисте знали његову употребу и интеграцију, можете потражити водич У следећем линку.