Firejail 是一個 SUID 程序,通過限制應用程序執行環境來降低安全漏洞的風險
宣布推出 新版 Firejail 項目 0.9.72, 發展 獨立執行圖形應用程序的系統、控制台和服務器,這使您可以通過運行不受信任或可能易受攻擊的程序來最大程度地降低危及主系統的風險。
對於隔離,Firejail 使用命名空間, Linux 上的 AppArmor 和系統調用過濾 (seccomp-bpf)。 一旦啟動,該程序及其所有子進程將使用內核資源的單獨表示,例如網絡堆棧、進程表和掛載點。
相互依賴的應用程序可以合併到一個公共沙箱中。 如果需要,Firejail 也可用於運行 Docker、LXC 和 OpenVZ 容器。
許多流行的應用程序,包括 Firefox、Chromium、VLC 和 Transmission,都有預配置的系統調用隔離配置文件。 為了獲得必要的權限來設置沙盒環境,firejail 可執行文件是在 SUID root 提示符下安裝的(權限在初始化後重置)。 要以隔離模式運行程序,只需將應用程序名稱指定為 firejail 實用程序的參數,例如“firejail firefox”或“sudo firejail /etc/init.d/nginx start”。
Firejail 0.9.72 的主要新聞
在這個新版本中,我們可以找到 添加了 seccomp 系統調用過濾器 阻止命名空間創建(添加“–restrict-namespaces”選項以啟用)。 更新了系統調用表和 seccomp 組。
模式得到改進 強制-nonewprivs (NO_NEW_PRIVS) 它提高了安全保證,旨在防止新進程獲得額外的特權。
另一個突出的變化是添加了使用您自己的 AppArmor 配置文件的能力(建議使用“–apparmor”選項進行連接)。
我們還可以發現 nettrace 網絡流量監控系統, 顯示有關每個地址的 IP 和流量強度的信息, 支持 ICMP 並提供選項“–dnstrace”、“–icmptrace”和“–snitrace”。
, 其他突出的變化:
- 刪除了 –cgroup 和 –shell 命令(默認為 –shell=none)。
- Firetunnel 構建默認停止。
- 在 /etc/firejail/firejail.config 中禁用 chroot、private-lib 和 tracelog 配置。
- 刪除了對 grsecurity 的支持。
- 修改:刪除了–cgroup 命令
- 修改:設置 --shell=none 為默認值
- 修改:去掉--shell
- 修改:Firetunnel 在 configure.ac 中默認禁用
- 修改:刪除了 grsecurity 支持
- modif:默認停止隱藏 /etc 中的黑名單文件
- 舊行為(默認禁用)
- 錯誤修復:淹沒 seccomp 審計日誌條目
- 錯誤修正:--netlock 不工作(錯誤:沒有有效的沙箱)
最後,對於那些對該程序感興趣的人,他們應該知道它是用 C 編寫的,在 GPLv2 許可下分發,並且可以在任何 Linux 發行版上運行。 Firejail Ready 軟件包以 deb 格式準備(Debian、Ubuntu)。
如何在Linux上安裝Firejail?
對於那些對能夠在其Linux發行版上安裝Firejail感興趣的人, 他們可以按照說明進行操作 我們在下面分享。
在Debian,Ubuntu及其衍生版本上 安裝非常簡單,因為 他們可以從存儲庫中安裝Firejail 其分佈 或者他們可以下載準備好的Deb軟件包 從 以下鏈接。
如果選擇從存儲庫安裝,只需打開一個終端並執行以下命令:
sudo apt-get install firejail
或者,如果他們決定下載deb軟件包,則可以使用其首選軟件包管理器進行安裝,或者使用以下命令從終端安裝:
sudo dpkg -i firejail_0.9.72-apparmor_1_amd64.deb
而對於Arch Linux及其衍生產品 從此,只需運行:
sudo pacman -S firejail
組態
安裝完成後,現在我們將必須配置沙箱,並且還必須啟用AppArmor。
在終端上,我們將輸入:
sudo firecfg sudo apparmor_parser -r /etc/apparmor.d/firejail-default
要了解其用法和集成方式,請查閱其指南 在下面的鏈接中。