Состоялся выпуск утилиты Firejail 0.9.38, предоставляющей средства для снижения риска компрометации системы при запуске не заслуживающих доверия приложений. Firejail запускает приложения в режиме sandbox-изоляции, формируемом при помощи механизма пространств имён (namespaces) и фильтрации системных вызовов (seccomp-bpf) в Linux. Утилита оформлена в виде исполняемого SUID-файла, который может использоваться в качестве прослойки для запуска различных консольных, серверных и графических приложений.
Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си и может работать в любом дистрибутиве Linux с ядром старше 3.0. Исходные тексты открыты под лицензией GPL v2.
В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start". Отдельно развивает графический интерфейс Firetools, написанный с использованием библиотеки Qt, предоставляющий инструменты для редактирования профилей изоляции, отображающий статистику и интегрируемый в системный лоток.
Исходный код
Скачать:
Извлечение файлов и компиляции программного обеспечения:
tar -xjvf firejail-X.Y.Z.tar.bz2 cd firejail-X.Y.Z ./configure && make && sudo make install-strip
Debian, Ubuntu, Mint
Скачать:
- Firejail 64bit DEB пакет
- Firetools 64bit DEB пакет
- Firejail 32bit DEB пакет
- Firetools 32bit DEB пакет
Установите пакет:
Sudo DPKG -i firejail_X.Y_1_amd64.deb
OpenSUSE, CentOS 7, Fedora
Скачать:
Установите пакет:
sudo rpm -i firejail_X.Y-Z.x86_64.rpm
Arch Linux
Gentoo
sudo emerge firejail
Git Repository
Firejail’s source code is hosted in a Git repository on GitHub. You can access and compile it with the following commands:
git clone https://github.com/netblue30/firejail.git
cd firejail
./configure && make && sudo make install-strip
источник
Комментариев нет:
Отправить комментарий