Firejail 是一个 SUID 程序,通过限制应用程序执行环境来降低安全漏洞的风险
宣布推出 新版 Firejail 项目 0.9.72, 发展 独立执行图形应用程序的系统、控制台和服务器,这使您可以通过运行不受信任或可能易受攻击的程序来最大程度地降低危及主系统的风险。
对于隔离,Firejail 使用命名空间, Linux 上的 AppArmor 和系统调用过滤 (seccomp-bpf)。 一旦启动,该程序及其所有子进程将使用内核资源的单独表示,例如网络堆栈、进程表和挂载点。
相互依赖的应用程序可以合并到一个公共沙箱中。 如果需要,Firejail 也可用于运行 Docker、LXC 和 OpenVZ 容器。
许多流行的应用程序,包括 Firefox、Chromium、VLC 和 Transmission,都有预配置的系统调用隔离配置文件。 为了获得必要的权限来设置沙盒环境,firejail 可执行文件在 SUID root 提示符下安装(权限在初始化后重置)。 要以隔离模式运行程序,只需将应用程序名称指定为 firejail 实用程序的参数,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
Firejail 0.9.72 的主要新闻
在这个新版本中,我们可以找到 添加了 seccomp 系统调用过滤器 阻止命名空间创建(添加“–restrict-namespaces”选项以启用)。 更新了系统调用表和 seccomp 组。
模式得到了改进 强制-nonewprivs (NO_NEW_PRIVS) 它提高了安全保证,旨在防止新进程获得额外的特权。
另一个突出的变化是添加了使用您自己的 AppArmor 配置文件的能力(建议连接选项“–apparmor”)。
我们还可以发现 nettrace 网络流量监控系统, 显示有关每个地址的 IP 和流量强度的信息, 支持 ICMP 并提供选项“–dnstrace”、“–icmptrace”和“–snitrace”。
, 其他突出的变化:
- 删除了 –cgroup 和 –shell 命令(默认为 –shell=none)。
- Firetunnel 构建默认停止。
- 在 /etc/firejail/firejail.config 中禁用 chroot、private-lib 和 tracelog 配置。
- 删除了对 grsecurity 的支持。
- 修改:删除了–cgroup 命令
- 修改:设置 --shell=none 为默认值
- 修改:去掉--shell
- 修改:Firetunnel 在 configure.ac 中默认禁用
- 修改:删除了 grsecurity 支持
- modif:默认停止隐藏 /etc 中的黑名单文件
- 旧行为(默认禁用)
- 错误修复:淹没 seccomp 审计日志条目
- 错误修正:--netlock 不工作(错误:没有有效的沙箱)
最后,对于那些对该程序感兴趣的人,他们应该知道它是用 C 编写的,在 GPLv2 许可下分发,并且可以在任何 Linux 发行版上运行。 Firejail Ready 软件包以 deb 格式准备(Debian、Ubuntu)。
如何在Linux上安装Firejail?
对于那些希望能够在其Linux发行版上安装Firejail的人, 他们可以按照说明进行操作 我们在下面分享。
在Debian,Ubuntu及其衍生版本上 安装非常简单,因为 他们可以从存储库中安装Firejail 其分布 或者他们可以下载准备好的Deb软件包 从 以下链接。
从存储库中选择安装的情况下,只需打开一个终端并执行以下命令:
sudo apt-get install firejail
或者,如果他们决定下载deb软件包,则可以使用其首选的软件包管理器进行安装,也可以使用以下命令从终端进行安装:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
而对于Arch Linux及其衍生产品 从此,只需运行:
sudo pacman -S firejail
组态
安装完成后,现在我们将必须配置沙箱,并且还必须启用AppArmor。
在终端上,我们将输入:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
要了解其用法和集成方式,请查阅其指南 在下面的链接中。