Обновление системы изоляции приложений Firejail 0.9.42

Состоялся релиз проекта Firejail 0.9.42, в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Для изоляции в Firejail используется механизм пространств имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа — состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs. Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, «firejail firefox» или «sudo firejail /etc/init.d/nginx start».

Особенности новой версии:

  • Добавлены собственные профили изоляции на базе AppArmor. Ранее AppArmor можно было применять в дистрибутивах с уже существующими профилями, например, в Ubuntu и Debian. При запуске c опцией »--apparmor» Firejail теперь использует собственный профиль, независимый от предлагаемого в дистрибутиве, который отличается задействованием расширенных возможностей ядер с патчами Grsecurity. В частности, блокируются утечки информации через /proc и /sys, разрешается запуск программ только из системных директорий (запрещён запуск из /home и директорий доступных на запись пользователю), отключается D-Bus. Для включения данной возможности следует собрать Firejail с опцией »--enable-apparmor»;
  • Встроена поддержка исполняемых файлов в формате AppImage, используемом для создания самодостаточных пакетов, работающих в различных дистрибутивах Linux. Например, можно сразу запустить в Firejail сборку Firefox-48.0.1.en.glibc2.3.3-x86_64.AppImage в отдельной директории, с изоляцией от остальной сетевой подсистемы и с собственным X-сервером;
  • Начальная поддержка выполнения пакетов в формате Snap. Поддержка Flatpak пока не планируется (Snap использует похожий на Firejail подход к изоляции на основе фильтрации системных вызовов и использования компонентов окружения основной системы, в то время как Flatpak использует полноценный контейнер);
  • Добавлены средства аудита активности в sandbox-окружении, позволяющие выявлять потенциальные проблемы с профилями изоляции. При запуске аудита Firejail формирует полноценный профиль изоляции для указанного приложения, но вместо самого приложения выполняет тестовый сценарий;
  • Добавлены новые профили изоляции для таких программ, как Gitter, gThumb, mpv, Franz, LibreOffice, pix, audacity, xz, xzdec, gzip, cpio, less, Atom Beta, Atom, jitsi, eom, uudeview, tar (gtar), unzip, unrar, file, Skype, strings, inox, Slack, gnome-chess. Gajim, DOSBox;
  • Новые опции: удаление переменных окружения (--rmenv), режим noexec (--noexec), чистка и повторное использование overlayfs (--overlay-clean, --overlay-named), включение отладки через gdb и strace (--allow-debuggers);
  • Новые команды: «mkfile profile», «quiet profile» и «x11 profile»;
  • Новые настройки: включение overlayfs (overlayfs yes/no), подключение собственных правил пакетного фильтра (netfilter-default), включение белого списка (whitelist yes/no), перемонтирование /proc и /sys (remount-proc-sys yes/no), включение в chroot возможностей для запуска приложений рабочего стола (chroot-desktop yes/no).

© OpenNet