Опубликован релиз проекта Firejail 0.9.72, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58493
bubblewrap лучше. А флатпак еще лучше (именно с точки зрения изоляции, а не способе доставки приложений, который мне тоже противен).
Это уязвимые технологии, чем сложнее тем больше вектор атаки. Именно с точки зрения изоляции это всё дно, изоляция невозможно, это всё миф для наивных хомяков.
изоляция возможна, это не миф, а реальность. Но есть втюхнологии, которые изоляции почти не поддаются:- иксы: спасибо дидам, изоляции нет вообще, через Xephyr не пробросишь видюху, а Xpra показывает слайдшоу на локалхосте так, словно подключаешься к компу в антарктиде
- pulseaudio: спасибо большое поттерингу. К счастью есть pipewire.
- d-bus: спасибо аффтарам, изоляции нет. К счастью флатпак явил миру dbus-proxy.
Изоляция на обычном железе физически не осуществима. QubesOS это раз за разом подтверждает, и обычная виртуализация это просто шутка. Изоляция никогда не работала и изоляция не на физическом уровне так тем более. И новые костыли только оказываются ещё более дырявыми.
У тебя просто какое-то свое особое определение слову "изоляция". Среди обычных людей это слово означает, что ядро и прочие системные компоненты будут возвращать фуфловые ресурсы при использовании их официальных апи. К примеру, readdir от корня вернет фуфловый список файлов, не имеющих отношения к реальной системе, а официальный апи какого-нибудь пульсаудио сообщит изолированному приложению, что микрофона нет, даже если в реальной системе он есть. И лишь явное разрешение от пользователя может заставить тот или иной апи ответить не фуфелом, а реальностью. Следующая еще более защищенная ступень после изоляции - это виртуализация, но не всем интересно терять в производительности.
Я о том и говорю, что это баззворды для хомяков. Изоляция, которая элементарно обходится. Виртуализация, которая по своему принципу ничего не может изолировать. Это у тебя какие-то свои определения.
Ты ещё скажи что докеры всякие используются безопасности ради, а не из-за радикального удешевления управления окружением, когда поднимать и тушить контейнеры можно по щелчку пальца, получая достаточно чистый stateless ресурс, в котором перезапуск гарантирует очистку всяких временных файлов, зомби-процессов и прочего.
> в котором перезапуск гарантирует очистку всяких временных файлов, зомби-процессов и прочего.Хе.
Не писать так, чтобы не было зомби.
Не писать так, чтобы временные файлы чистились в idle.
Не писать обработку аварийных отказов.
Зачем? Это технологии древних, только они могли с ними работать. Современному тяп-ляп-в-продкшн это не интересно. Ему интересно искать угнетение чёрных транс-арабов и гей-ниггеров в твиттере под смуззи. А вот ему и изоляция подъехала. Обозвал он её умным словом "stateless" и пошел дальне писать жабоскрипт на электроне.
чел, "тяп-ляп-в-продакшн" неизбежное следствие того, что хотелки заказчика нужно было закрыть еще вчера, но попутно выяснилось, что аналитику не хватило телепатии, чтобы выудить из заказчика некоторые важные детали, которые он считал очевидными, поэтому еще нет релиза - все с горящим седалищем выгребают баги. У тебя-то наверное все время мира есть, чтобы свою какую-то поделку полировать до блеска. И тестами все обмазать.
P.S. пишу на плюсах и джаве.
Межделмаш со своим LPAR не согласна с тобой с прошлого века.
Фактор Неуловимого Джо силён у голубого гиганта.
джо настолько неуловим, что приносит голубым триллиарды зеленых президентов.
Именно, кровавый интерпрайз.
Да, читал сборочную инструкцию. Я так понял, это только венды касается, потому что на линуксе нет разницы в эффективности работы растеризации, она очень низкая независимо от компилятора.
виртуализация, распараллеливание, многопроцессорность, железное ускорение операций и т.д. и тому подобное родом из 60х-70хэто только васяны думают, что 64bit родились с Атлонами.
>через Xephyr не пробросишь видюхуvirgl_test_server
Не поддерживается virgl на половине машин, где вообще может понадобиться изолировать Иксы. И не для того уходят от виртуализации в изоляцию, чтобы вновь к этому возвращаться.
> изоляция невозможно, это всё миф для наивных хомяков.Ты ещё скажи, что презики не защищают от кучи болезней
Но, вообще-то, реально не защищают. Ни от вич, ни от гепатитов. В лучшем случае, от детей, да и то не всегда
Защищают детей от ВИЧ.
Риск заразиться ВИЧ при сексе с заведомо инфицированной самкой без преза - 1.5%. Если вы не садисты, конечно. Риск заразиться через слюну и бытовым путём - 0, так как для заражения необходимы активный вирус и микротравмы.
Завсегда можно заполучить эту заразу при переливании крови (почти 100% успеха) и стоматологии.
нет ничего лучше выключенного компа
Это-то да, но иногда и поработать требуется.
от работы кони дохнут
пони
автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года[1][2][3]. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питания), эта подсистема продолжает работать, даже когда компьютер отключенэта подсистема продолжает работать, даже когда компьютер отключен
даже когда компьютер отключен
Но флатпак и так использует bwrap для изоляции.
bubblewrap - низкоуровневая утилита. Флатпак - конечное решение, в котором используется множество низкоуровневых утилит, включая (но не ограничиваясь) bubblewrap.
состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения
А можно как-то для изолируемого приложения добавлять библиотеки, которые отсутствуют в хостовой системе без размещения их в хостовой?
Можно, разрешаю.
Кто мешает скачать их в контейнер?
> позволяющую минимизировать риск компрометации основной систем
> при запуске не заслуживающих доверия или
> потенциально уязвимых программ.
> Программа написана на языке Си,Авторы знатные тролли
Самое главное:
>>исполняемый файл firejail устанавливается с флагом SUID root
> Авторы знатные троллиДвижок опеннета тоже:
> Главная ссылка к новости (https://github.com/netblue30/f...)
> OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
> OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
> OpenNews: Выпуск системы изоляции приложений Firejail 0.9.62
> OpenNews: Серия уязвимостей в Firejail
>
> AppArmorТ.е. в Федоре работать не будет?
В Федоре нет FUSE?
Будет, без Apparmor (но сейчас можно несколько LSM-модулей включать)
> состав контейнера формируется на лету на основе содержимого текущей ФСМеня это настораживает.
Про OpenVZ интересно, это как бы его на ванильных ядрах запускать
А ты не запускай на ванильных вёдрах.
Несколько раз я на неё смотрел, но что-то отталкивает каждый раз. Есть пользователи?
Я пользуюсь.
Есть какие-то прям супер плюсы?
> Есть какие-то прям супер плюсы?Не могу сказать. Я искал изоляюцию для приложений, чтобы было просто настроить и выбрал его. Использую для повседневных приложений: браузер, почтовый клиент, редактор, плеер, менеджер паролей и т.п. Для всех приложений были профили из коробки, единственное, что я правил это добавлял доступ к некоторым директориям, например, чтобы их браузер видел. Из последнего вытекает проблема, что бывает сложно понять почему в приложении перестает работать какой-то функционал, например, в том же firefox c дефолтным профилем молча не работает кнопка "открыть скачанный файл в директории", потому что в изоляции firefox не видит чем открывать.
Friendzone
Что только не придумают лишь бы виртуалки не использовать.
Конечно, многим удобная и дешёвая масштабируемость нужна без сильных потерь в производительности. Контейнеризация для одних задач, виртуализация для других.
Если так все просто, почему на системном уровне это давным давно не встраивают в линуксы? Нахрена еще одна программа
На системном уровне все с 2007 года встроенно.Но для использования этих технологий напрямую у одних не хавтает мозгов, а у других времени.
Да, они потом еще вторую версию релизили в ведро, но после этого тоже куча воды утекла уже.
> В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.Удивительные слова. Собственно, т.н. "подготовка" (чтобы всё ещё можно было работать, но не про..ть все полимеры) и составляет основную проблему пользования SE/AppArmor/Astra. И этим занимаются вполне себе квалифицированные команды. А тут --- "каждая домохозяйка...".
Не верю. (C) Алексеев.
>В отличие от средств контейнерной изоляции firejail предельно прост в конфигурацииТак может написать только человек _ни разу_ не пользовавшийся firejail.
В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium так, чтобы он не вылезал из netns.
>>В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации
> Так может написать только человек _ни разу_ не пользовавшийся firejail.
> В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium
> так, чтобы он не вылезал из netns.Речь про это https://github.com/netblue30/firejail/issues/4087 ?
Вот ты понимаешь, что там написано?Я нет. Кроме того, что если хромого запускать с правильным ключом, он соглашется не вылезать из сендбокса.
С вланами до сих пор грохает сеть?
Странно это, изоляция сети - одна из главных функций, а поправить никто не может. А было бы удобно..
Вланы на локалхосте — это какое-то ультракраснoглазие. Серверы обычно таким не страдают, за исключением очень специальных серверов, которые крайне редко нужны в реальности.
Узкоспециализированные сервера? Это например нода в кластере?
юзай голые namespaces если они не грохают
Ннда, Virtuozzo, ностальгия...