lansmanını duyurdu Firejail projesinin yeni versiyonu 0.9.72, hangi gelişir grafik uygulamalarının yalıtılmış olarak yürütülmesi için bir sistem, konsol ve sunucu, güvenilmeyen veya potansiyel olarak savunmasız programları çalıştırarak ana sistemden ödün verme riskini en aza indirmenize olanak tanır.
Tecrit için, Firejail ad alanlarını kullan, Linux'ta AppArmor ve sistem çağrısı filtreleme (seccomp-bpf). Başlatıldıktan sonra, program ve tüm alt işlemleri, ağ yığını, işlem tablosu ve bağlama noktaları gibi çekirdek kaynaklarının ayrı temsillerini kullanır.
Birbirine bağlı uygulamalar, ortak bir sanal alanda birleştirilebilir. İstenirse Firejail, Docker, LXC ve OpenVZ kapsayıcılarını çalıştırmak için de kullanılabilir.
Firefox, Chromium, VLC ve Transmission gibi birçok popüler uygulamada önceden yapılandırılmış sistem çağrısı yalıtım profilleri bulunur. Korumalı alan ortamı kurmak için gerekli ayrıcalıkları elde etmek için, SUID kök istemi ile çalıştırılabilir firejail kurulur (ayrıcalıklar başlatmadan sonra sıfırlanır). Bir programı yalıtılmış modda çalıştırmak için, uygulama adını firejail yardımcı programına argüman olarak belirtmeniz yeterlidir; örneğin, "firejail firefox" veya "sudo firejail /etc/init.d/nginx start".
Firejail 0.9.72 ana haberleri
Bu yeni versiyonda bunu bulabiliriz seccomp sistem çağrısı filtresi eklendi ad alanı oluşturmalarını engellemek için (etkinleştirmek için “–restrict-namespaces” seçeneği eklendi). Sistem çağrı tabloları ve seccomp grupları güncellendi.
mod iyileştirildi yeni olmayan ayrıcalıkları zorla (NO_NEW_PRIVS) Güvenlik garantilerini geliştirir ve yeni süreçlerin ek ayrıcalıklar kazanmasını engellemeyi amaçlar.
Öne çıkan bir diğer değişiklik ise kendi AppArmor profillerinizi kullanabilme özelliğinin eklenmesi (bağlantı için “–apparmor” seçeneği öneriliyor).
Bunu da bulabiliriz nettrace ağ trafiği izleme sistemi, her bir adresin IP adresi ve trafik yoğunluğu hakkında bilgi veren, ICMP'yi destekler ve “–dnstrace”, “–icmptrace” ve “–snitrace” seçeneklerini sunar.
Of the öne çıkan diğer değişiklikler:
- –cgroup ve –shell komutları kaldırıldı (varsayılan –shell=none şeklindedir).
- Firetunnel derlemesi varsayılan olarak durur.
- /etc/firejail/firejail.config dosyasında chroot, private-lib ve tracelog yapılandırması devre dışı bırakıldı.
- grsecurity desteği kaldırıldı.
- modif: –cgroup komutu kaldırıldı
- modif: --shell=none'u varsayılan olarak ayarla
- değiştir: kaldırıldı --kabuk
- modif:Configure.ac'de Firetunnel varsayılan olarak devre dışıdır.
- modif: kaldırılan grsecurity desteği
- modif: varsayılan olarak /etc içindeki kara listeye alınmış dosyaları gizlemeyi durdur
- eski davranış (varsayılan olarak devre dışıdır)
- hata düzeltmesi: seccomp denetim günlüğü girişlerinin taşması
- bugfix: --netlock çalışmıyor (Hata: geçerli sanal alan yok)
Son olarak, programla ilgilenenler, programın C dilinde yazıldığını, GPLv2 lisansı altında dağıtıldığını ve herhangi bir Linux dağıtımında çalışabileceğini bilmelidir. Firejail Ready paketleri deb formatlarında (Debian, Ubuntu) hazırlanır.
Firejail Linux'a nasıl kurulur?
Firejail'i Linux dağıtımlarına kurabilmekle ilgilenenler için, talimatları izleyerek yapabilirler aşağıda paylaştığımız.
Debian, Ubuntu ve türevlerinde kurulum oldukça basittir, çünkü Firejail'i depolardan kurabilirler dağıtımının veya hazırlanan deb paketlerini indirebilirler itibaren aşağıdaki bağlantı.
Depolardan yüklemeyi seçmeniz durumunda, sadece bir terminal açın ve aşağıdaki komutu çalıştırın:
sudo apt-get install firejail
Veya deb paketlerini indirmeye karar vermişlerse, tercih ettikleri paket yöneticisiyle veya şu komutla terminalden kurabilirler:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
Arch Linux ve türevleri durumunda bundan sadece şunu çalıştırın:
sudo pacman -S firejail
yapılandırma
Kurulum tamamlandıktan sonra, şimdi sandbox'ı yapılandırmamız gerekecek ve ayrıca AppArmor'u etkinleştirmemiz gerekecek.
Bir terminalden şunu yazacağız:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
Kullanımını ve entegrasyonunu bilmek için rehberine bakabilirsiniz. Aşağıdaki bağlantıda.