The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.09.2016 12:29  Обновление системы изоляции приложений Firejail 0.9.42

Состоялся релиз проекта Firejail 0.9.42, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Для изоляции в Firejail используется механизм пространств имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs. Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".

Особенности новой версии:

  • Добавлены собственные профили изоляции на базе AppArmor. Ранее AppArmor можно было применять в дистрибутивах с уже существующими профилями, например, в Ubuntu и Debian. При запуске c опцией "--apparmor" Firejail теперь использует собственный профиль, независимый от предлагаемого в дистрибутиве, который отличается задействованием расширенных возможностей ядер с патчами Grsecurity. В частности, блокируются утечки информации через /proc и /sys, разрешается запуск программ только из системных директорий (запрещён запуск из /home и директорий доступных на запись пользователю), отключается D-Bus. Для включения данной возможности следует собрать Firejail с опцией "--enable-apparmor";
  • Встроена поддержка исполняемых файлов в формате AppImage, используемом для создания самодостаточных пакетов, работающих в различных дистрибутивах Linux. Например, можно сразу запустить в Firejail сборку Firefox-48.0.1.en.glibc2.3.3-x86_64.AppImage в отдельной директории, с изоляцией от остальной сетевой подсистемы и с собственным X-сервером;
  • Начальная поддержка выполнения пакетов в формате Snap. Поддержка Flatpak пока не планируется (Snap использует похожий на Firejail подход к изоляции на основе фильтрации системных вызовов и использования компонентов окружения основной системы, в то время как Flatpak использует полноценный контейнер);
  • Добавлены средства аудита активности в sandbox-окружении, позволяющие выявлять потенциальные проблемы с профилями изоляции. При запуске аудита Firejail формирует полноценный профиль изоляции для указанного приложения, но вместо самого приложения выполняет тестовый сценарий;
  • Добавлены новые профили изоляции для таких программ, как Gitter, gThumb, mpv, Franz, LibreOffice, pix, audacity, xz, xzdec, gzip, cpio, less, Atom Beta, Atom, jitsi, eom, uudeview, tar (gtar), unzip, unrar, file, Skype, strings, inox, Slack, gnome-chess. Gajim, DOSBox;
  • Новые опции: удаление переменных окружения (--rmenv), режим noexec (--noexec), чистка и повторное использование overlayfs (--overlay-clean, --overlay-named), включение отладки через gdb и strace (--allow-debuggers);
  • Новые команды: "mkfile profile", "quiet profile" и "x11 profile";
  • Новые настройки: включение overlayfs (overlayfs yes/no), подключение собственных правил пакетного фильтра (netfilter-default), включение белого списка (whitelist yes/no), перемонтирование /proc и /sys (remount-proc-sys yes/no), включение в chroot возможностей для запуска приложений рабочего стола (chroot-desktop yes/no).


  1. Главная ссылка к новости (https://firejail.wordpress.com...)
  2. OpenNews: Доступна система изоляции приложений Firejail 0.9.40
  3. OpenNews: Выпуск Firejail 0.9.38, инструмента для изоляции приложений
  4. OpenNews: Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе
  5. OpenNews: Выпуск системы самодостаточных пакетов Flatpak 0.6.8
  6. OpenNews: Canonical развивает универсальные пакеты snap, работающие в различных дистрибутивах Linux
Лицензия: CC-BY
Тип: Программы
Ключевые слова: firejail, chroot
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Свобода приложениям, 12:56, 11/09/2016 [ответить] [смотреть все]    [к модератору]
  • +25 +/
    А зачем изолировать? Я считаю приложения должны сосуществовать в гармонии.
     
     
  • 2.3, Аноним, 13:10, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +14 +/
    Освободим приложения от гнёта изоляции!
     
     
  • 3.68, Аноним, 03:45, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    Отличная идея Давай рутовый доступ к своему компу ... весь текст скрыт [показать]
     
  • 2.7, Аноним, 13:54, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Для уменьшения количества векторов атак Гармония - это когда приложение имеет р... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, A.Stahl, 15:12, 11/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    >Для уменьшения количества векторов...

    ... достаточно их сложить...

     
     
  • 4.12, Аноним, 15:39, 11/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Уже сделали в systemd
     
  • 2.49, Аноним, 15:55, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Всё должно быть изолировано и зашифровано Иначе ФСБ сможет следить за вашими ко... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, An, 13:04, 11/09/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    ну-ну
     
  • 1.4, Аноним, 13:14, 11/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    т.е. любую команду можно запустить так:

    firejail $COMMAND

    ?

     
     
  • 2.5, Аноним, 13:27, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Теоретически Правила ещё нужны, что ограничивать и к каким директориям у прилож... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, Аноним, 01:19, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если правил нет - применяются дефолтные, годная программа ... весь текст скрыт [показать]
     
     
  • 4.73, Аноним, 06:54, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не для всех приложений есть правила И если правила нет она ругается ... весь текст скрыт [показать]
     
     
  • 5.75, Аноним, 01:34, 14/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Запускает с дефолтными Они менее эффективны, потому и ворчит ... весь текст скрыт [показать]
     
  • 2.6, sage, 13:29, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Да Более того, можно какому-нибудь пользователю назначить firejail в качестве ш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 02:12, 12/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Подло-то как!
     
     
  • 4.37, Аноним, 13:35, 12/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Зато красиво-то как!
     
  • 1.8, Аноним, 15:11, 11/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    а есть ли какая джигурда, которая спрашивает разрешение на доступ к ресурсам чер... весь текст скрыт [показать]
     
     
  • 2.15, asavah, 16:14, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    палишься, вантузятнег, UAC нам ещё не завезли
     
     
  • 3.16, Аноним, 17:50, 11/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а как же askpass у ssh/sudo ?
     
  • 3.20, Аноним, 21:10, 11/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    а уас так умеет разве? Я имею ввиду как в сименсе было, 100500 лет назад
     
  • 3.50, Аноним, 15:58, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А gksudo и kdesudo вам завозили ... весь текст скрыт [показать]
     
  • 2.23, Аноним, 23:20, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Теоретически – policykit.
     
     
  • 3.25, Аноним, 06:52, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Требует systemd в этих ваших дистрибутивах кроме Gentoo Funtoo где это правится... весь текст скрыт [показать]
     
     
  • 4.69, Аноним, 06:17, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Хорошие tips tricks по systemd Можно узнать что 1 Кто-то сделал переключение ... весь текст скрыт [показать]
     
  • 1.10, Арчешкольник, 15:14, 11/09/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >Добавлены собственные профили изоляции

    А вот это замечательно. В теории, должно решить проблему с работой сабжа на раче

     
  • 1.19, Аноним, 20:51, 11/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Сколь угодно и как угодно изолируй, а всё равно дыра получается в итоге Нет дов... весь текст скрыт [показать]
     
     
  • 2.21, Аноним, 21:23, 11/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Почему?
     
  • 1.22, Dkg, 22:07, 11/09/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Это наподобие SandboxIE ?
     
     
  • 2.28, Клыкастый, 10:49, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    это на подобие jail.
     
     
  • 3.31, ага, 12:58, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    не, это херня какая-то предполагаю - что вредная jail - тот как-то чудом обход... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 13:25, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    jail это суть chroot с дополнительной изоляцией Firejail тоже не использует App... весь текст скрыт [показать]
     
  • 4.64, sage, 23:22, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Firejail не требует ничего из перечисленного, но может подключать другие техноло... весь текст скрыт [показать]
     
  • 4.74, Аноним, 15:40, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    бня неведома только для бсдшников которые слаще морковки ничего не ели сабж отл... весь текст скрыт [показать]
     
  • 2.76, stalkerdroad, 15:34, 14/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Нет. Клоном Sandboxie является Mbox.
     
  • 1.26, Аноним, 07:39, 12/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это можно достаточно легко использовать чтобы запретить приложению доступ в се... весь текст скрыт [показать]
     
     
  • 2.27, Аноним, 10:11, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    --net=none подойдёт?

     
  • 2.33, Аноним, 13:26, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    iptables, группа без доступа в интернет Выбирай ... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Кирпич, 13:32, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    А есть в Linux встроенный файрволл, чтобы можно было легко запретить сеть выбран... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Аноним, 14:13, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    iptables Ну я уже говорил выше - создаёшь группу без доступа в нет И запускаешь... весь текст скрыт [показать]
     
     
  • 4.56, Аноним, 17:07, 12/09/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > создаёшь группу без доступа в нет.

    Как?

     
     
  • 5.57, Аноним, 17:33, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В гугле забанили https habrahabr ru post 82933 ... весь текст скрыт [показать]
     
     
  • 6.62, Аноним, 22:12, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ох вы не представляете сколько лет и сколько вообще я гуглил эту тему, видимо не... весь текст скрыт [показать]
     
     
  • 7.71, Аноним, 06:46, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я проверил - работает всё по часам ПыСы Оратор ниже дело говорит Лучше fireja... весь текст скрыт [показать]
     
  • 4.65, sage, 23:24, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Не очень удобный подход, т к не влияет на таблицу маршрутизации и может создава... весь текст скрыт [показать]
     
     
  • 5.70, Аноним, 06:45, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Соглашусь, однако это тоже способ ... весь текст скрыт [показать]
     
  • 1.29, Аноним, 11:38, 12/09/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну, глядишь, еще лет через 10 будет использоваться в ДЕ, как способ запуска по у... весь текст скрыт [показать]
     
     
  • 2.36, Кирпич, 13:33, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    А что мешает читать исходники Я вот перед тем как пользоваться новой программой... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Аноним, 14:15, 12/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А если там исходников на два LibreOffice, тоже читаешь Или просто предпочитаешь... весь текст скрыт [показать]
     
  • 3.67, Аноним, 03:32, 13/09/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    заведомое вранье - ты даже исходники ядра ос не сможешь прочитать... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor