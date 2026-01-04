The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз системы изоляции приложений Firejail 0.9.78

04.01.2026 10:41

Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

Для изоляции в Firejail используются пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, позволяющие определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

Для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission, подготовлены готовые профили изоляции системных вызовов. Для получения привилегий, необходимых для настройки изолированного окружения, исполняемый файл firejail устанавливается с флагом SUID root (после инициализации привилегии сбрасываются). Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".

В новом выпуске:

  • В файл конфигурации firejail.config добавлены опции arg-max-count, arg-max-len, env-max-count и env-max-len для изменения лимитов на число и размер опций командной строки и переменных окружения. По умолчанию число аргументов ограничено 128, число переменных окружения 256, а размер каждого аргумента - PATH_MAX из limits.h (в Linux 40196) + 32.
  • Добавлена опция "--xephyr-extra-params" для задания дополнительных опций к Xephyr (используется для создания sandbox-окружений X11 со своим X-сервером, запущенным в окне) в командной строке без изменения firejail.config.
  • Устанавливаемая в sandbox-окружение утилита bwrap (bubblewrap) заменена на прослойку fbwrap, запускающую программы без изоляции для решения проблем с запуском Firefox, Thunderbird, GIMP из-за вызова glycin 2.0.0 из gdk-pixbuf2 с использованием bwrap. Для копирования bwrap вместо прослойки добавлена опция "--allow-bwrap".
  • Обновлены таблицы системных вызовов для seccomp. Добавлены новые системные вызовы, такие как epoll_pwait2 и futex_wait.
  • Удалена сборочная опция "--disable-globalcfg", прекращена поддержка overlayfs ("--overlay") и режима IDS (Intrusion Detection System, "--ids").
  • Добавлены профили изоляции для текстового редактора ne (текстовый редактор), браузера Trivalent и игровых движков OpenRA, quakespasm, gzdoom, lzdoom, uzdoom.
  • Обновлены профили для thunderbird, wine, qutebrowser, firefox, godot, wusc, mullvad-browser, blink, steam, ssh, brave и hashcat.


  1. Главная ссылка к новости (https://github.com/netblue30/f...)
  2. OpenNews: Выпуск Bubblewrap 0.11, прослойки для создания изолированных окружений
  3. OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
  4. OpenNews: Выпуск системы изоляции приложений Firejail 0.9.72
  5. OpenNews: Mozilla начинает внедрение технологии изоляции библиотек RLBox
  6. OpenNews: Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64553-firejail
Ключевые слова: firejail, chroot, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:55, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Зачем сабж, когда есть флатпак, который решает проблему изоляции более изящно и более гранулярно. Можно даже задать, к каким именно системным/сессионным D-Bus-сервисам приложуха может иметь доступ (флатпак дает фильтрующий прокси). А еще файловая иерархия становится предсказуемее: для удаления вообще всех данных приложения, надо сделать 'rm -rf ~/.var/app/$APP_ID'. И всё. Не надо бегать по темным уголкам хомяка, выискивая как-то следы приложухи по mtime и прочим хреням. Ну и божественный вяленый конечно. Флатпак + вяленый = железобетонная изоляция. Калькулятор не сможет заскриншотить твой экран и отправить скриншот китайцам. Ну и ключевое преимущество: именно разработчик занимается созданием "профилей" для своих приложух, а не какой-то сторонний вася, как в сабже.
     
     
  • 2.9, Аноним (9), 11:52, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Затем что флатпак формируют третьи лица, а тут речь идет про изоляцию приложений из состава дистрибутива. Ничего со стороны в систему не устанавливается.
     
     
  • 3.22, Аноним (22), 14:37, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А во фряхе третьи лица или кто делал такой же jail?

    https://www.opennet.ru/opennews/art.shtml?num=64550

     
  • 2.10, Аноним (10), 11:55, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Тут скорее аналоги https://github.com/igo95862/bubblejail или https://github.com/CauldronDevelopmentLLC/sandbubble
     
  • 2.15, Аноним (15), 13:04, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Разработчик трояна ограничивает доступ своего трояна к системе. Хитро, ничего не скажешь. Троянописатели в восторге от возможностей задать все права доступа.
     
  • 2.16, Аноним (16), 13:44, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    firejail и bubblewrap интегрируются с системным ПО.
    flatpak навязывает свой репозиторий (нельзя перебиндить рут, и даже просто задать другой путь при бинде), который либо сопровождать самому, либо мириться, что софт в Flathub-е собирает кто попало и как попало.
     
     
  • 3.21, Аноним (1), 14:02, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > firejail и bubblewrap интегрируются с системным ПО

    Оба никак не интегрируются с системным ПО. Под "интегрироваться" имеем в виду, что .desktop-файлы должны изначально лежать где надо, и запускать механизм изоляции вместо оригинального приложения. А bwrap и вовсе низкоуровневая утилита, она ничего этого делать уметь не должна. А firejail подразумевает, что ты каким-то образом перебьешь системный .desktop-файл своим собственным. И смотри, не ошибись, а то при клике на иконку возможно запустишь оригинальный бинарь!

    Во флатпаке же интеграция сделана по-правильному. Ты сразу получаешь правильный .desktop-файл, который невозможно запустить неверным образом. И правильную команду в $PATH, которая тоже заредиректит на флатпак.

    > flatpak навязывает свой репозиторий

    Это преимущество и недостаток одновременно. Лично для меня -- преимущество, потому что софт во флатпаке обычно свежее того, что приходит из дистра. В особенности хромиум с его частыми 0-day. А так, не все ли равно, откуда приходит софт? Во флатхабе хоть все манифесты ревьюятся сообществом со всех дистров одновременно.

    > софт в Flathub-е собирает кто попало и как попало

    Софт во флатпаке частенько собирают оригинальные разработчики софта, то есть апстрим.

     

  • 1.3, localhostadmin (ok), 11:00, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    Дежурное напоминание: во всех юниксах можно создавать пользователей и настратвать им привелегии. Пользуйтесь этой информацией как хотите
     
     
  • 2.5, Аноним (5), 11:44, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Линукс не юникс, да и система прав не всесильна, иначе не появились бы bsd jail и аналоги.
     
  • 2.6, Аноним (6), 11:45, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    дежурное напоминание:
    можно запустить сразу несколько иксов под разными пользователями с настроенными привилегиями под разные задачи и переключаться между ними.
    пользуйтесь этой информацией тоже как хотите.
     
     
  • 3.17, онанист (?), 13:53, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    нельзя
    только вейленд
     
     
  • 4.23, Аноним (22), 14:39, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > нельзя

    Кто запретил?

     
  • 2.8, Аноним (1), 11:51, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Давай проверим твою теорию на практике. Итак, есть три пользователя: user, app1 и app2. В этой системе user запускает иксовый сервер, и далее к нему коннектятся app1 и app2. ВНЕЗАПНО app1 может заскриншотить app2. Сработал твой DAC? Нет, не сработал. Нихрена ничего не разграничил.

    Другой пример. Есть два пользователя: user и app1. user создает d-bus-сессию, а app1 к нему коннектится. Внезапно app1 имеет полный доступ ко всем d-bus-сервисам. Сработал твой DAC? Нет, не сработал. Ни в какой файл не напишешь, что "окей, app1 не имеет доступ ни к чему, кроме org.freedesktop.Notifications."

    И вот так примерно со всем: шарить или не шарить network namespace, шарить или не шарить ipc namespace, давать или не давать ptrace и т. д. Никак ты это обычным DAC не разрулишь.

     
  • 2.11, bergentroll (ok), 12:31, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > во всех юниксах можно создавать пользователей и настратвать им привелегии

    Привелегии цисгендерного белого угнетателя? Типа захотел браузер — залогинился от одного юзера, захотел калькулятор — от другого.

     
  • 2.19, Аноним (16), 13:54, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Пользователи видят процессы друг друга by design.
    Пользователи видят открытые сетевые порты by design. И в большинстве случаев могут подключаться к ним без аутентификации by default.
    Процессы пользователей могут делать друг с другом что угодно (редактировать память процесса, посылать друг другу signal-ы и сообщения по Dbus, и т.п.) by default.
    Процессы, запущенные без PR_SET_NO_NEW_PRIVS, имеют возможности поднять привилегии в системе, пользуясь уязвимостями в ПО или неправильной настройкой системы (например, слабых правил для polkit, sudo, SETUID-утилит).
    И т.д. и т.п.
    Отдельный пользователь - это хорошо. Но совершенно недостаточно.
     
     
  • 3.24, Энтомолог_русолог (ok), 15:15, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >  Пользователи видят процессы друг друга by design.

    hidepid=1 или hidepid=2
    И ты не видишь чужих процессов

    Дальше разбирать твою галиматью или уже хватит того, что ты начал со вранья?

     

  • 1.4, Аноним (4), 11:20, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Похоже на убийцу cagefs от cloudlinux.
     
  • 1.7, Аноним (7), 11:48, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Привилегия — это исключительное право или преимущество, предоставляемое кому-либо в отличие от других. Например, это могут быть дворянские привилегии или особые права, которые отменяются в зависимости от обстоятельств. Привилегии могут использоваться как в разговорной речи, так и в профессиональных сферах.
     
  • 1.12, Аноним (12), 12:46, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –5 +/
    Всё это слишком сложно и не нужно. Оно и понятно, вместо пользования виндой десяточкой, линуксо_йды придумывают себе всякие прослойки и прослойки прослоек, для того, чтобы им казалось, что у них секурность максимальная!
     
     
  • 2.13, Аноним (9), 12:57, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Изоляция приложений, запущенных одним пользователем , друг от друга под виндой? Интересует, продолжай.
     
  • 2.18, онанист (?), 13:54, 04/01/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.14, Abyss777 (?), 12:58, 04/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А есть профиль для MAX?
     
     
  • 2.20, Бюро Кратия (?), 14:00, 04/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Безопаснее хранить MAX отдельно от компьютера, в сейфе. А сейф - в отделении МВД, доступ к которому осуществляется строго по паспорту, СНИЛС и НДФЛ, в установленном законом режиме.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру