Firejail 0.9.72 xuất hiện với các cải tiến bảo mật và hơn thế nữa

Darkcrizt

4 phút

firejail_crop

Firejail là một chương trình SUID giúp giảm nguy cơ vi phạm bảo mật bằng cách hạn chế môi trường thực thi ứng dụng

Công bố sự ra mắt của phiên bản mới của dự án Firejail 0.9.72, phát triển một hệ thống để thực thi riêng biệt các ứng dụng đồ họa, bảng điều khiển và máy chủ, cho phép bạn giảm thiểu rủi ro xâm phạm hệ thống chính bằng cách chạy các chương trình không đáng tin cậy hoặc có khả năng dễ bị tấn công.

Để cách ly, Firejail sử dụng không gian tên, AppArmor và lọc cuộc gọi hệ thống (seccomp-bpf) trên Linux. Sau khi bắt đầu, chương trình và tất cả các quy trình con của nó sử dụng các biểu diễn riêng biệt của tài nguyên hạt nhân, chẳng hạn như ngăn xếp mạng, bảng quy trình và điểm gắn kết.

Các ứng dụng phụ thuộc vào nhau có thể được kết hợp thành một hộp cát chung. Nếu muốn, Firejail cũng có thể được sử dụng để chạy các bộ chứa Docker, LXC và OpenVZ.

Rất nhiều ứng dụng phổ biến, bao gồm Firefox, Chromium, VLC và Transmission, có cấu hình cách ly cuộc gọi hệ thống được định cấu hình sẵn. Để có được các đặc quyền cần thiết nhằm thiết lập môi trường hộp cát, tệp thực thi firejail được cài đặt với dấu nhắc gốc SUID (các đặc quyền được đặt lại sau khi khởi chạy). Để chạy chương trình ở chế độ biệt lập, chỉ cần chỉ định tên ứng dụng làm đối số cho tiện ích firejail, ví dụ: "firejail firefox" hoặc "sudo firejail /etc/init.d/nginx start".

Tin tức chính của Firejail 0.9.72

Trong phiên bản mới này, chúng ta có thể thấy rằng đã thêm bộ lọc cuộc gọi hệ thống seccomp để chặn việc tạo không gian tên (đã thêm tùy chọn “–restrict-namespaces” để bật). Cập nhật bảng gọi hệ thống và nhóm seccomp.

chế độ đã được cải thiện buộc-nonewprivs (NO_NEW_PRIVS) Nó cải thiện các đảm bảo an ninh và nhằm ngăn chặn các quy trình mới đạt được các đặc quyền bổ sung.

Một thay đổi nổi bật khác là khả năng sử dụng cấu hình AppArmor của riêng bạn đã được thêm vào (tùy chọn “–apparmor” được đề xuất cho kết nối).

Chúng tôi cũng có thể thấy rằng hệ thống giám sát lưu lượng mạng nettrace, hiển thị thông tin về IP và cường độ lưu lượng của từng địa chỉ, hỗ trợ ICMP và cung cấp các tùy chọn “–dnstrace”, “–icmptrace”, và “–snitrace”.

Của những thay đổi nổi bật khác:

  • Đã xóa các lệnh –cgroup và –shell (mặc định là –shell=none).
  • Quá trình xây dựng Firetunnel dừng theo mặc định.
  • Đã tắt cấu hình chroot, private-lib và theo dõi trong /etc/firejail/firejail.config.
  • Đã xóa hỗ trợ cho grsecurity.
  • modif: đã xóa lệnh –cgroup
  • sửa đổi: đặt --shell=none làm mặc định
  • sửa đổi: đã xóa --shell
  • sửa đổi: Firetunnel bị tắt theo mặc định trong configure.ac
  • modif: đã xóa hỗ trợ grsecurity
  • sửa đổi: ngừng ẩn các tệp trong danh sách đen trong/etc theo mặc định
  • hành vi cũ (bị tắt theo mặc định)
  • sửa lỗi: làm ngập các mục nhật ký kiểm toán seccomp
  • sửa lỗi: --netlock không hoạt động (Lỗi: không có hộp cát hợp lệ)

Cuối cùng, đối với những người quan tâm đến chương trình, họ nên biết rằng nó được viết bằng C, được phân phối theo giấy phép GPLv2 và có thể chạy trên bất kỳ bản phân phối Linux nào. Các gói Sẵn sàng cho Firejail được chuẩn bị ở định dạng deb (Debian, Ubuntu).

Làm thế nào để cài đặt Firejail trên Linux?

Đối với những người quan tâm đến việc có thể cài đặt Firejail trên bản phân phối Linux của họ, họ có thể làm điều đó theo hướng dẫn mà chúng tôi chia sẻ dưới đây.

Trên Debian, Ubuntu và các dẫn xuất việc cài đặt khá đơn giản, vì họ có thể cài đặt Firejail từ kho phân phối của nó hoặc họ có thể tải xuống các gói gỡ lỗi đã chuẩn bị sẵn từ liên kết sau.

Trong trường hợp chọn cài đặt từ kho, chỉ cần mở một thiết bị đầu cuối và thực hiện lệnh sau:

sudo apt-get install firejail

Hoặc nếu họ quyết định tải xuống các gói deb, họ có thể cài đặt bằng trình quản lý gói ưa thích của họ hoặc từ thiết bị đầu cuối bằng lệnh:

sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb

Trong khi đối với trường hợp của Arch Linux và các dẫn xuất từ cái này, chỉ cần chạy:

sudo pacman -S firejail

cấu hình

Sau khi cài đặt xong, bây giờ chúng ta sẽ phải định cấu hình hộp cát và chúng ta cũng phải bật AppArmor.

Từ một thiết bị đầu cuối, chúng ta sẽ nhập:

sudo firecfg

sudo apparmor_parser -r /etc/apparmor.d/firejail-default

Để biết cách sử dụng và tích hợp, bạn có thể tham khảo hướng dẫn của nó Trong liên kết sau đây.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.