Firejail 0.9.72 kommer med säkerhetsförbättringar och mer

Darkcrizt

4 minuter

firejail_crop

Firejail är ett SUID-program som minskar risken för säkerhetsintrång genom att begränsa tillämpningsmiljön

Tillkännagav lanseringen av ny version av Firejail-projektet 0.9.72, som utvecklas ett system för isolerad exekvering av grafiska applikationer, konsol och server, vilket gör att du kan minimera risken för att äventyra huvudsystemet genom att köra opålitliga eller potentiellt sårbara program.

För isolering, Firejail använd namnutrymmen, AppArmor och systemanropsfiltrering (seccomp-bpf) på Linux. När det väl har startat använder programmet och alla dess underordnade processer separata representationer av kärnresurser, såsom nätverksstacken, processtabellen och monteringspunkter.

Applikationer som är beroende av varandra kan kombineras till en gemensam sandlåda. Om så önskas kan Firejail också användas för att köra Docker-, LXC- och OpenVZ-containrar.

Många populära appar, inklusive Firefox, Chromium, VLC och Transmission, har förkonfigurerade profiler för systemsamtalsisolering. För att få de nödvändiga privilegierna för att ställa in en sandlådemiljö installeras den körbara filen för firejail med SUID-rotprompten (privilegier återställs efter initiering). För att köra ett program i isolerat läge, ange helt enkelt applikationsnamnet som ett argument till firejail-verktyget, till exempel "firejail firefox" eller "sudo firejail /etc/init.d/nginx start".

Huvudnyheter från Firejail 0.9.72

I den här nya versionen kan vi hitta det tillagt secomp systemanropsfilter för att blockera skapande av namnutrymmen (tillagda alternativet "–begränsa-namnutrymmen" för att aktivera). Uppdaterade systemanropstabeller och secomp-grupper.

läge har förbättrats force-nonewprivs (NO_NEW_PRIVS) Det förbättrar säkerhetsgarantierna och är avsett att förhindra att nya processer får ytterligare privilegier.

En annan förändring som sticker ut är att möjligheten att använda dina egna AppArmor-profiler lades till (alternativet "–apparmor" föreslås för anslutningen).

Vi kan också hitta det nettrace nätverkstrafikövervakningssystem, som visar information om IP och trafikintensitet för varje adress, stöder ICMP och ger alternativen "–dnstrace", "–icmptrace" och "–snitrace".

Av andra förändringar som sticker ut:

  • Tog bort kommandona –cgroup och –shell (standard är –shell=ingen).
  • Firetunnelbygget stoppar som standard.
  • Inaktiverad chroot, private-lib och tracelog-konfiguration i /etc/firejail/firejail.config.
  • Borttaget stöd för grsäkerhet.
  • modif: tog bort kommandot –cgroup
  • modif: set --shell=ingen som standard
  • modifiera: borttaget --shell
  • modif: Firetunnel inaktiverad som standard i configure.ac
  • modif: borttaget grsäkerhetsstöd
  • modif: sluta gömma svartlistade filer i /etc som standard
  • gammalt beteende (inaktiverat som standard)
  • buggfix: översvämma seccomp granskningsloggposter
  • buggfix: --netlock fungerar inte (Fel: ingen giltig sandlåda)

Slutligen, för de som är intresserade av programmet bör de veta att det är skrivet i C, distribueras under GPLv2-licensen och kan köras på vilken Linux-distribution som helst. Firejail Ready-paket är förberedda i deb-format (Debian, Ubuntu).

Hur installerar jag Firejail på Linux?

För de som är intresserade av att kunna installera Firejail på sin Linux-distribution, de kan göra det enligt instruktionerna som vi delar nedan.

På Debian, Ubuntu och derivat installationen är ganska enkel, eftersom kan installera firejail från repositories av dess distribution eller så kan du ladda ner de förberedda deb-paketen från följande länk.

Om du väljer att installera från arkiven, öppna bara en terminal och kör följande kommando:

sudo apt-get install firejail

Eller om du bestämde dig för att ladda ner deb-paketen kan du installera med din föredragna pakethanterare eller från terminalen med kommandot:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Medan i fallet med Arch Linux och derivat av detta, kör bara:

sudo pacman -S firejail

konfiguration

När installationen är klar måste vi nu konfigurera sandlådan och vi måste också ha AppArmor aktiverat.

Från en terminal ska vi skriva:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

För att veta dess användning och integration kan du konsultera dess guide I följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.