Dumating ang Firejail 0.9.72 na may mga pagpapahusay sa seguridad at higit pa

Darkcrizt

4 Minutos

firejail_crop

Ang Firejail ay isang SUID program na binabawasan ang panganib ng mga paglabag sa seguridad sa pamamagitan ng paghihigpit sa kapaligiran ng pagpapatupad ng application

Inihayag ang paglulunsad ng bagong bersyon ng proyekto ng Firejail 0.9.72, na bubuo isang sistema para sa hiwalay na pagpapatupad ng mga graphic application, console at server, na nagbibigay-daan sa iyong mabawasan ang panganib na makompromiso ang pangunahing system sa pamamagitan ng pagpapatakbo ng mga hindi pinagkakatiwalaan o potensyal na masusugatan na mga programa.

Para sa paghihiwalay, Firejail gumamit ng mga namespace, AppArmor at system call filtering (seccomp-bpf) sa Linux. Kapag nagsimula na, ang program at ang lahat ng mga child na proseso nito ay gumagamit ng magkakahiwalay na representasyon ng kernel resources, gaya ng network stack, process table, at mount point.

Ang mga application na umaasa sa isa't isa ay maaaring pagsamahin sa isang karaniwang sandbox. Kung ninanais, maaari ding gamitin ang Firejail para magpatakbo ng mga container ng Docker, LXC, at OpenVZ.

Maraming sikat na app, kabilang ang Firefox, Chromium, VLC, at Transmission, ay may paunang na-configure na mga profile sa paghihiwalay ng system call. Upang makuha ang mga kinakailangang pribilehiyo upang mag-set up ng isang sandboxed na kapaligiran, ang firejail executable ay naka-install gamit ang SUID root prompt (ang mga pribilehiyo ay ni-reset pagkatapos ng initialization). Para magpatakbo ng program sa nakahiwalay na mode, tukuyin lang ang pangalan ng application bilang argumento sa firejail utility, halimbawa, "firejail firefox" o "sudo firejail /etc/init.d/nginx start".

Pangunahing balita ng Firejail 0.9.72

Sa bagong bersyon na ito maaari naming hanapin iyon idinagdag ang seccom system call filter upang harangan ang mga paglikha ng namespace (idinagdag ang opsyong “–restrict-namespaces” upang paganahin). Na-update ang mga talahanayan ng tawag sa system at mga pangkat ng seccom.

ang mode ay napabuti force-nonewprivs (NO_NEW_PRIVS) Pinapabuti nito ang mga garantiyang panseguridad at nilayon na pigilan ang mga bagong proseso na makakuha ng karagdagang mga pribilehiyo.

Ang isa pang pagbabago na kapansin-pansin ay ang kakayahang gamitin ang iyong sariling mga profile ng AppArmor ay idinagdag (ang opsyon na "–apparmor" ay iminungkahi para sa koneksyon).

Mahahanap din natin yan ang nettrace network traffic monitoring system, na nagpapakita ng impormasyon tungkol sa IP at intensity ng trapiko ng bawat address, sumusuporta sa ICMP at nagbibigay ng mga opsyon na “–dnstrace”, “–icmptrace”, at “–snitrace”.

Ng iba pang mga pagbabago na namumukod-tangi:

  • Inalis ang –cgroup at –shell command (default ay –shell=none).
  • Humihinto ang pagbuo ng Firetunnel bilang default.
  • Na-disable ang configuration ng chroot, private-lib at tracelog sa /etc/firejail/firejail.config.
  • Inalis ang suporta para sa grsecurity.
  • modif: inalis ang –cgroup na utos
  • modif: set --shell=none bilang default
  • baguhin: inalis --shell
  • modif: Na-disable ang Firetunnel bilang default sa configure.ac
  • modif: inalis ang suporta sa grsecurity
  • modif: itigil ang pagtatago ng mga naka-blacklist na file sa /etc bilang default
  • lumang gawi (naka-disable bilang default)
  • pag-aayos ng bug: pagbaha sa seccom audit log entries
  • bugfix: --hindi gumagana ang netlock (Error: walang wastong sandbox)

Sa wakas, para sa mga interesado sa programa, dapat nilang malaman na ito ay nakasulat sa C, ay ipinamamahagi sa ilalim ng lisensya ng GPLv2, at maaaring tumakbo sa anumang pamamahagi ng Linux. Ang mga pakete ng Firejail Ready ay inihanda sa mga deb na format (Debian, Ubuntu).

Paano i-install ang Firejail sa Linux?

Para sa mga interesadong ma-install ang Firejail sa kanilang pamamahagi ng Linux, magagawa nila ito pagsunod sa mga tagubilin na ibinabahagi namin sa ibaba.

Sa Debian, Ubuntu at mga derivatives ang pag-install ay medyo simple, dahil maaari nilang mai-install ang Firejail mula sa mga repository ng pamamahagi nito o maaari nilang i-download ang mga nakahandang pakete ng deb mula sa ang sumusunod na link.

Sa kaso ng pagpili ng pag-install mula sa mga repository, buksan lamang ang isang terminal at ipatupad ang sumusunod na utos:

sudo apt-get install firejail

O kung nagpasya silang i-download ang mga deb package, maaari silang mag-install sa kanilang ginustong manager ng package o mula sa terminal na may utos:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Habang para sa kaso ng Arch Linux at mga derivatives mula dito, tumakbo lang:

sudo pacman -S firejail

configuration

Kapag tapos na ang pag-install, ngayon ay kakailanganin naming i-configure ang sandbox at mayroon din kaming paganahin ang AppArmor.

Mula sa isang terminal ay magta-type kami:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Upang malaman ang paggamit at pagsasama nito maaari kang kumunsulta sa gabay nito Sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.