The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск системы изоляции приложений Firejail 0.9.72

17.01.2023 12:09

Опубликован релиз проекта Firejail 0.9.72, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

Для изоляции в Firejail используются пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.

В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

Для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission, подготовлены готовые профили изоляции системных вызовов. Для получения привилегий, необходимых для настройки изолированного окружения, исполняемый файл firejail устанавливается с флагом SUID root (после инициализации привилегии сбрасываются). Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".

В новом выпуске:

  • Добавлен seccomp-фильтр системных вызовов, блокирующий создания пространств имён (для включения добавлена опция "--restrict-namespaces"). Обновлены таблицы системных вызовов и группы seccomp.
  • Улучшен режим force-nonewprivs (NO_NEW_PRIVS), запрещающий получение дополнительных привилегий в новых процессах.
  • Добавлена возможность использования собственных профилей AppArmor (для подключения предложена опция "--apparmor").
  • В системе отслеживания сетевого трафика nettrace, которая отображает сведения об IP и интенсивности трафика с каждого адреса, реализована поддержка ICMP и предложены опции "--dnstrace", "--icmptrace" и "--snitrace".
  • Удалены команды --cgroup и --shell (по умолчанию применяется --shell=none). По умолчанию прекращена сборка firetunnel. Отключены настройки chroot, private-lib и tracelog в /etc/firejail/firejail.config. Прекращена поддержка grsecurity.


  1. Главная ссылка к новости (https://github.com/netblue30/f...)
  2. OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
  3. OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
  4. OpenNews: Выпуск системы изоляции приложений Firejail 0.9.62
  5. OpenNews: Серия уязвимостей в Firejail
  6. OpenNews: Выпуск Bubblewrap 0.6, прослойки для создания изолированных окружений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58493-firejail
Ключевые слова: firejail, chroot, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:14, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    bubblewrap лучше. А флатпак еще лучше (именно с точки зрения изоляции, а не способе доставки приложений, который мне тоже противен).
     
     
  • 2.2, Аноним (2), 12:28, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Это уязвимые технологии, чем сложнее тем больше вектор атаки. Именно с точки зрения изоляции это всё дно, изоляция невозможно, это всё миф для наивных хомяков.
     
     
  • 3.4, Аноним (1), 12:42, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    изоляция возможна, это не миф, а реальность. Но есть втюхнологии, которые изоляции почти не поддаются:

    - иксы: спасибо дидам, изоляции нет вообще, через Xephyr не пробросишь видюху, а Xpra показывает слайдшоу на локалхосте так, словно подключаешься к компу в антарктиде
    - pulseaudio: спасибо большое поттерингу. К счастью есть pipewire.
    - d-bus: спасибо аффтарам, изоляции нет. К счастью флатпак явил миру dbus-proxy.

     
     
  • 4.8, Аноним (2), 13:27, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Изоляция на обычном железе физически не осуществима. QubesOS это раз за разом подтверждает, и обычная виртуализация это просто шутка. Изоляция никогда не работала и изоляция не на физическом уровне так тем более. И новые костыли только оказываются ещё более дырявыми.
     
     
  • 5.13, Аноним (1), 14:04, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У тебя просто какое-то свое особое определение слову "изоляция". Среди обычных людей это слово означает, что ядро и прочие системные компоненты будут возвращать фуфловые ресурсы при использовании их официальных апи. К примеру, readdir от корня вернет фуфловый список файлов, не имеющих отношения к реальной системе, а официальный апи какого-нибудь пульсаудио сообщит изолированному приложению, что микрофона нет, даже если в реальной системе он есть. И лишь явное разрешение от пользователя может заставить тот или иной апи ответить не фуфелом, а реальностью. Следующая еще более защищенная ступень после изоляции - это виртуализация, но не всем интересно терять в производительности.
     
     
  • 6.14, Аноним (2), 14:09, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я о том и говорю, что это баззворды для хомяков. Изоляция, которая элементарно обходится. Виртуализация, которая по своему принципу ничего не может изолировать. Это у тебя какие-то свои определения.
     
     
  • 7.31, Аноним (31), 18:40, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты ещё скажи что докеры всякие используются безопасности ради, а не из-за радикального удешевления управления окружением, когда поднимать и тушить контейнеры можно по щелчку пальца, получая достаточно чистый stateless ресурс, в котором перезапуск гарантирует очистку всяких временных файлов, зомби-процессов и прочего.
     
     
  • 8.35, Dzen Python (ok), 20:46, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хе Не писать так, чтобы не было зомби Не писать так, чтобы временные файлы ч... текст свёрнут, показать
     
     
  • 9.49, Аноним (49), 02:16, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    чел, тяп-ляп-в-продакшн неизбежное следствие того, что хотелки заказчика нужно... текст свёрнут, показать
     
  • 5.42, 1 (??), 10:00, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Межделмаш со своим LPAR не согласна с тобой с прошлого века.
     
     
  • 6.44, Аноним (2), 10:27, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Фактор Неуловимого Джо силён у голубого гиганта.
     
     
  • 7.56, mos87 (ok), 09:48, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    джо настолько неуловим, что приносит голубым триллиарды зеленых президентов.
     
     
  • 8.61, Аноним (2), 10:45, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Именно, кровавый интерпрайз ... текст свёрнут, показать
     
  • 8.62, Аноним (2), 10:49, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, читал сборочную инструкцию Я так понял, это только венды касается, потому ч... текст свёрнут, показать
     
  • 6.57, mos87 (ok), 09:50, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    виртуализация, распараллеливание, многопроцессорность, железное ускорение операций и т.д. и тому подобное родом из 60х-70х

    это только васяны думают, что 64bit родились с Атлонами.

     
  • 4.21, Аноним (21), 15:35, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >через Xephyr не пробросишь видюху

    virgl_test_server

     
     
  • 5.55, Аноним (55), 09:13, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не поддерживается virgl на половине машин, где вообще может понадобиться изолировать Иксы. И не для того уходят от виртуализации в изоляцию, чтобы вновь к этому возвращаться.
     
  • 3.6, Бывалый смузихлёб (?), 13:10, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > изоляция невозможно, это всё миф для наивных хомяков.

    Ты ещё скажи, что презики не защищают от кучи болезней
    Но, вообще-то, реально не защищают. Ни от вич, ни от гепатитов. В лучшем случае, от детей, да и то не всегда

     
     
  • 4.12, Аноним (12), 14:00, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Защищают детей от ВИЧ.
     
  • 4.33, Аноним (33), 19:52, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Риск заразиться ВИЧ при сексе с заведомо инфицированной самкой без преза - 1.5%. Если вы не садисты, конечно. Риск заразиться через слюну и бытовым путём - 0, так как для заражения необходимы активный вирус и микротравмы.
     
     
  • 5.43, 1 (??), 10:02, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Завсегда можно заполучить эту заразу при переливании крови (почти 100% успеха) и стоматологии.
     
  • 2.5, Аноним (5), 13:07, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    нет ничего лучше выключенного компа
     
     
  • 3.11, Аноним (12), 13:59, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это-то да, но иногда и поработать требуется.
     
     
  • 4.19, Аноним (19), 15:01, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    от работы кони дохнут
     
     
  • 5.22, Аноним (21), 15:36, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    пони
     
  • 3.26, Big Robert TheTables (?), 15:57, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года[1][2][3]. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питания), эта подсистема продолжает работать, даже когда компьютер отключен

    эта подсистема продолжает работать, даже когда компьютер отключен

    даже когда компьютер отключен

     
  • 2.16, Голум (?), 14:15, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но флатпак и так использует bwrap для изоляции.
     
     
  • 3.18, Аноним (1), 14:46, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    bubblewrap - низкоуровневая утилита. Флатпак - конечное решение, в котором используется множество низкоуровневых утилит, включая (но не ограничиваясь) bubblewrap.
     

  • 1.3, Аноним (12), 12:38, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения
    А можно как-то для изолируемого приложения добавлять библиотеки, которые отсутствуют в хостовой системе без размещения их в хостовой?
     
     
  • 2.24, Аноним (21), 15:41, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно, разрешаю.
     
  • 2.48, Ддд (?), 23:06, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто мешает скачать их в контейнер?
     

  • 1.7, Аноним (7), 13:15, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > позволяющую минимизировать риск компрометации основной систем
    > при запуске не заслуживающих доверия или
    > потенциально уязвимых программ.
    > Программа написана на языке Си,

    Авторы знатные тролли

     
     
  • 2.27, ИмяХ (?), 16:12, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое главное:
    >>исполняемый файл firejail устанавливается с флагом SUID root
     
  • 2.37, Аноним (37), 23:39, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Авторы знатные тролли

    Движок опеннета тоже:
    > Главная ссылка к новости (https://github.com/netblue30/f...)
    > OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
    > OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
    > OpenNews: Выпуск системы изоляции приложений Firejail 0.9.62
    > OpenNews: Серия уязвимостей в Firejail
    >

     

  • 1.9, Аноним (9), 13:45, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  AppArmor

    Т.е. в Федоре работать не будет?

     
     
  • 2.10, Аноним (12), 13:57, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В Федоре нет FUSE?
     
  • 2.36, mikhailnov (ok), 23:32, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Будет, без Apparmor (но сейчас можно несколько LSM-модулей включать)
     

  • 1.15, Аноним (15), 14:12, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > состав контейнера формируется на лету на основе содержимого текущей ФС

    Меня это настораживает.

     
  • 1.17, Роман (??), 14:18, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про OpenVZ интересно, это как бы его на ванильных ядрах запускать
     
     
  • 2.25, Аноним (21), 15:41, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты не запускай на ванильных вёдрах.
     

  • 1.28, Самый умный из вас (?), 16:33, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Несколько раз я на неё смотрел, но что-то отталкивает каждый раз. Есть пользователи?
     
     
  • 2.39, Вы забыли заполнить поле Name (?), 01:12, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я пользуюсь.
     
     
  • 3.46, Самый умный из вас (?), 17:43, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть какие-то прям супер плюсы?
     
     
  • 4.50, Вы забыли заполнить поле Name (?), 03:06, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть какие-то прям супер плюсы?

    Не могу сказать. Я искал изоляюцию для приложений, чтобы было просто настроить и выбрал его. Использую для повседневных приложений: браузер, почтовый клиент, редактор, плеер, менеджер паролей и т.п. Для всех приложений были профили из коробки, единственное, что я правил это добавлял доступ к некоторым директориям, например, чтобы их браузер видел. Из последнего вытекает проблема, что бывает сложно понять почему в приложении перестает работать какой-то функционал, например, в том же firefox c дефолтным профилем молча не работает кнопка "открыть скачанный файл в директории", потому что в изоляции firefox не видит чем открывать.

     

  • 1.29, kusb (?), 16:43, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Friendzone
     
  • 1.30, Аноним (30), 18:01, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что только не придумают лишь бы виртуалки не использовать.
     
     
  • 2.32, Аноним (31), 18:44, 17/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, многим удобная и дешёвая масштабируемость нужна без сильных потерь в производительности. Контейнеризация для одних задач, виртуализация для других.
     

  • 1.34, Аноним (34), 20:02, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если так все просто, почему на системном уровне это давным давно не встраивают в линуксы? Нахрена еще одна программа
     
     
  • 2.40, ПомидорИзДолины (?), 08:08, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На системном уровне все с 2007 года встроенно.

    Но для использования этих технологий напрямую у одних не хавтает мозгов, а у других времени.

     
     
  • 3.41, ПомидорИзДолины (?), 08:09, 18/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, они потом еще вторую версию релизили в ведро, но после этого тоже куча воды утекла уже.
     

  • 1.38, yet another anonymous (?), 23:58, 17/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

    Удивительные слова. Собственно, т.н. "подготовка" (чтобы всё ещё можно было работать, но не про..ть все полимеры) и составляет основную проблему пользования SE/AppArmor/Astra. И этим занимаются вполне себе квалифицированные команды. А тут --- "каждая домохозяйка...".

    Не верю. (C) Алексеев.

     
  • 1.45, Аноним (45), 11:02, 18/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации

    Так может написать только человек _ни разу_ не пользовавшийся firejail.

    В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium так, чтобы он не вылезал из netns.

     
     
  • 2.51, Вы забыли заполнить поле Name (?), 03:25, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации
    > Так может написать только человек _ни разу_ не пользовавшийся firejail.
    > В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium
    > так, чтобы он не вылезал из netns.

    Речь про это https://github.com/netblue30/firejail/issues/4087 ?

     
     
  • 3.54, Аноним (45), 05:25, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот ты понимаешь, что там написано?

    Я нет. Кроме того, что если хромого запускать с правильным ключом, он соглашется не вылезать из сендбокса.

     

  • 1.47, Аноним (-), 22:30, 18/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С вланами до сих пор грохает сеть?
    Странно это, изоляция сети - одна из главных функций, а поправить никто не может. А было бы удобно..
     
     
  • 2.53, Аноним (53), 04:30, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вланы на локалхосте — это какое-то ультракраснoглазие. Серверы обычно таким не страдают, за исключением очень специальных серверов, которые крайне редко нужны в реальности.
     
     
  • 3.60, pofigist (?), 10:29, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Узкоспециализированные сервера? Это например нода в кластере?
     
  • 2.58, mos87 (ok), 09:52, 19/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    юзай голые namespaces если они не грохают
     

  • 1.63, Meddina (ok), 22:31, 19/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ннда, Virtuozzo, ностальгия...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру