The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

14.02.2016 13:44  Выпуск Firejail 0.9.38, инструмента для изоляции приложений

Состоялся выпуск утилиты Firejail 0.9.38, предоставляющей средства для снижения риска компрометации системы при запуске не заслуживающих доверия приложений. Firejail запускает приложения в режиме sandbox-изоляции, формируемом при помощи механизма пространств имён (namespaces) и фильтрации системных вызовов (seccomp-bpf) в Linux. Утилита оформлена в виде исполняемого SUID-файла, который может использоваться в качестве прослойки для запуска различных консольных, серверных и графических приложений.

Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си и может работать в любом дистрибутиве Linux с ядром старше 3.0. Исходные тексты открыты под лицензией GPL v2.

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start". Отдельно развивает графический интерфейс Firetools, написанный с использованием библиотеки Qt, предоставляющий инструменты для редактирования профилей изоляции, отображающий статистику и интегрируемый в системный лоток.



  1. Главная ссылка к новости (https://l3net.wordpress.com/20...)
  2. OpenNews: Представлен virt-sandbox, инструмент для обеспечения изолированного запуска приложений
  3. OpenNews: Компания Google открыла код системы изолированных контейнеров Lmctfy
  4. OpenNews: Первый выпуск инструментария для запуска приложений GNOME в изолированных контейнерах
  5. OpenNews: Представлен Otto, инструментарий для создания микросервисов из изолированных приложений
  6. OpenNews: OpenBSD развивает Pledge, новый механизм изоляции приложений
Лицензия: CC-BY
Тип: Программы
Ключевые слова: firejail, sandbox, namespace, seccomp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, котя, 14:10, 14/02/2016 [ответить] [смотреть все]
  • +/
    Ох и адовый скрин. Оно так и в жизни выглядит?
     
     
  • 2.2, kido, 14:19, 14/02/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +8 +/
    В жизни это в первую очередь cli.
    Пройдите на оф. сайт, там есть примеры команд. Или поставьте и почитайте man.
     
  • 1.3, nnoname, 14:36, 14/02/2016 [ответить] [смотреть все]
  • +3 +/
    Годно. Пусть развивается.
     
     
  • 2.11, Аноним, 01:35, 15/02/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –4 +/
    тебя забыли спросить
     
     
  • 3.13, Клыкастый, 10:23, 15/02/2016 [^] [ответить] [смотреть все]
  • +3 +/
    не заводись воспринимай это как одобрение и пожелание успеха ну, типа спасиб... весь текст скрыт [показать]
     
  • 1.4, Аноним, 14:53, 14/02/2016 [ответить] [смотреть все]  
  • +1 +/
    Так себе sandbox Слишком много умных настроек из коробки и сильно не хватает ... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 17:07, 14/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Оно же загнулось, не По крайней мере здесь https github com brain0 appjail, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Аноним, 20:08, 14/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Ещё раз, firejail по умолчанию не отмонтирует home Для меня это достаточная пр... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 08:38, 15/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ок, попробую, раз уж вы так его хвалите Но всё же, уязвимости в ядре никто не о... весь текст скрыт [показать]
     
     
  • 5.21, Led, 00:32, 16/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Уязвимости в ядре Это спермотоксикоз - с возрастом пройдёт ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 17:24, 14/02/2016 [ответить] [смотреть все]  
  • +1 +/
    Есть истории успеха со Скайпом?
     
     
  • 2.7, Аноним, 18:01, 14/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Есть https github com sameersbn docker-skype web skype com https github com... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Музыкант, 13:19, 15/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Пардон, но то ж докер, а вопрос был про Firejail А вторая ссылка - спасибо, н... весь текст скрыт [показать]
     
     
  • 4.16, MLP, 15:06, 15/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Нет, не запилили Это плагин про работу через WEB API скайпа, который эксперимен... весь текст скрыт [показать]
     
     
  • 5.17, Музыкант, 19:54, 15/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Жаль А может и не жаль Жаль что друзей на Tox переманить не удаётся У них к... весь текст скрыт [показать]
     
     
  • 6.19, Аноним, 23:38, 15/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну пока в токсе проблемы две Нельзя редактировать и удалять отправленные сообще... весь текст скрыт [показать]
     
     
  • 7.22, Гентушник, 16:22, 16/02/2016 [^] [ответить] [смотреть все]  
  • +/
    > удалять отправленные сообщения

    Какой в этом практический смысл? Кто гарантирует что клиент отправителя исполнит вашу команду и удалит сообщение?
    Напоминает функцию "удалить себя из друзей" в ICQ.

     
  • 6.25, KBAKEP, 01:01, 17/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Я бы сказал, что мотивация иная, банальная. На примере жены: "Зачем мне твой ХХХ? Там нет никого из моих контактов. А в вайбере я сразу нашла кучу своих друзей и могу с ними общаться." Вот и всё. А агрессивный маркетинг может помочь, безусловно.
     
  • 3.18, Аноним, 23:37, 15/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    skype по http? то есть вообще не защищенный?
     
  • 1.9, Аноним, 20:22, 14/02/2016 [ответить] [смотреть все]  
  • –2 +/
    Осталось сделать Программы и компоненты , как в винде, чтобы было видно весь сп... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 20:25, 14/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Уже есть в Андроид Примечательно, что часть про вирусы сбылась с точностью до н... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, kai3341, 12:06, 15/02/2016 [ответить] [смотреть все]  
  • –1 +/
    Чем оно лучше schroot?
    Правильно ли я понял: sandbox не реализует контейнерную виртуализацию.
    И если это так, то в чём же фишка sandbox'а, в чём проявляется его защищённость?
     
     
  • 2.23, Гентушник, 16:42, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    schroot в основном лишь автоматизирует команду chroot.
    Использование только chroot не безопасно, т.к. он изначально не создавался для этих целей. (см например https://filippo.io/escaping-a-chroot-jail-slash-1/ )

    Сабж в дополнении к этому использует другие функции ядра для создания полноценного изолированного контейнера:
    https://firejail.wordpress.com/features-3/

    Всё это можно сделать "руками", используя coreutils и например bash. Если вам хочется.
    Тут просто всё это автоматизировано.

     
  • 1.20, Аноним, 23:55, 15/02/2016 [ответить] [смотреть все]  
  • +/
    Хм, запустил firejail skype, обменялся сообщениями а в Firetools как было RX и T... весь текст скрыт [показать]
     
     
  • 2.24, Аноним, 21:59, 16/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Значит скупэ работает через libastral.so
     
  • 1.26, Аноним, 22:45, 17/02/2016 [ответить] [смотреть все]  
  • –1 +/
    Лучше бы уже что-то сделали с интегрированным в X Org кейлогером Иначе смысл лю... весь текст скрыт [показать]
     
     
  • 2.27, dsfa, 08:37, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    xephyr
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList