The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Обновление системы изоляции приложений Firejail 0.9.42"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от opennews on 11-Сен-16, 12:56 
Состоялся (https://firejail.wordpress.com/) релиз проекта Firejail 0.9.42 (https://firejail.wordpress.com/), в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail  позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Для изоляции в Firejail  
используется (https://firejail.wordpress.com/features-3/) механизм пространств имён (namespaces),  AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си, распространяется (https://github.com/netblue30/firejail) под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены (https://sourceforge.net/projects/firejail/files/firejail/) в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

В отличие от средств контейнерной изоляции firejail предельно прост (https://firejail.wordpress.com/documentation-2/basic-usage/) в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount  и overlayfs. Профили (https://firejail.wordpress.com/documentation-2/building-cust.../) изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента  утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".


Особенности (https://l3net.wordpress.com/2016/07/23/firejail-0-9-42rc1-re.../) новой версии:


-  Добавлены собственные профили изоляции на базе AppArmor. Ранее AppArmor можно было применять в дистрибутивах с уже существующими профилями, например, в Ubuntu и Debian. При запуске c опцией "--apparmor"  Firejail теперь использует собственный профиль, независимый от предлагаемого в дистрибутиве, который отличается задействованием расширенных возможностей ядер с патчами Grsecurity.
В частности, блокируются утечки информации через /proc и /sys, разрешается запуск программ только из системных директорий (запрещён запуск из /home и директорий доступных на запись пользователю), отключается D-Bus. Для включения данной возможности следует собрать Firejail с опцией "--enable-apparmor";

-  Встроена поддержка исполняемых файлов в формате AppImage (http://appimage.org/), используемом  для создания самодостаточных пакетов, работающих в различных дистрибутивах Linux. Например, можно сразу запустить в Firejail сборку Firefox-48.0.1.en.glibc2.3.3-x86_64.AppImage (https://bintray.com/probono/AppImages/Firefox) в отдельной директории, с изоляцией от остальной сетевой подсистемы и с собственным X-сервером;

-  Начальная поддержка выполнения пакетов в формате  Snap. Поддержка Flatpak пока не планируется (Snap использует похожий на Firejail подход к изоляции на основе фильтрации системных вызовов и использования компонентов окружения основной системы, в то время как Flatpak использует полноценный контейнер);
-  Добавлены средства аудита активности в sandbox-окружении, позволяющие выявлять потенциальные проблемы с профилями изоляции. При запуске аудита Firejail формирует полноценный профиль изоляции для указанного приложения, но вместо самого приложения выполняет тестовый сценарий;
-  Добавлены новые профили изоляции для таких программ, как
Gitter, gThumb, mpv, Franz, LibreOffice, pix, audacity, xz, xzdec, gzip, cpio, less, Atom Beta, Atom, jitsi, eom, uudeview, tar (gtar), unzip, unrar, file, Skype, strings, inox, Slack, gnome-chess. Gajim, DOSBox;
-  Новые опции: удаление переменных окружения (--rmenv), режим noexec (--noexec), чистка и повторное использование overlayfs (--overlay-clean, --overlay-named), включение отладки через gdb и strace (--allow-debuggers);
-  Новые команды: "mkfile profile", "quiet profile" и "x11 profile";
-  Новые настройки: включение overlayfs (overlayfs yes/no), подключение собственных правил пакетного фильтра (netfilter-default), включение белого списка (whitelist yes/no), перемонтирование /proc и /sys (remount-proc-sys yes/no), включение в chroot возможностей для запуска приложений рабочего стола (chroot-desktop yes/no).

URL: https://firejail.wordpress.com/
Новость: http://www.opennet.dev/opennews/art.shtml?num=45120

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление системы изоляции приложений Firejail 0.9.42"  +25 +/
Сообщение от Свобода приложениям on 11-Сен-16, 12:56 
А зачем изолировать? Я считаю приложения должны сосуществовать в гармонии.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление системы изоляции приложений Firejail 0.9.42"  +14 +/
Сообщение от Аноним (??) on 11-Сен-16, 13:10 
Освободим приложения от гнёта изоляции!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

68. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 03:45 
> Освободим приложения от гнёта изоляции!

Отличная идея. Давай рутовый доступ к своему компу.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Обновление системы изоляции приложений Firejail 0.9.42"  +5 +/
Сообщение от Аноним (??) on 11-Сен-16, 13:54 
> А зачем изолировать?

Для уменьшения количества векторов атак.

> Я считаю приложения должны сосуществовать в гармонии.

Гармония - это когда приложение имеет ровно те права, которые необходимы ей для выполнения поставленной задачи.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление системы изоляции приложений Firejail 0.9.42"  +1 +/
Сообщение от A.Stahl (ok) on 11-Сен-16, 15:12 
>Для уменьшения количества векторов...

... достаточно их сложить...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Обновление системы изоляции приложений Firejail 0.9.42"  +5 +/
Сообщение от Аноним (??) on 11-Сен-16, 15:39 
Уже сделали в systemd
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

49. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 15:55 
Всё должно быть изолировано и зашифровано. Иначе ФСБ сможет следить за вашими комментариями на опеннете.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от An (??) on 11-Сен-16, 13:04 
ну-ну
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 11-Сен-16, 13:14 
т.е. любую команду можно запустить так:

firejail $COMMAND

?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 11-Сен-16, 13:27 
Теоретически. Правила ещё нужны, что ограничивать и к каким директориям у приложения будет доступ.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

66. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 01:19 
> Теоретически. Правила ещё нужны, что ограничивать и к каким директориям у приложения
> будет доступ.

Если правил нет - применяются дефолтные, годная программа.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

73. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 06:54 
> Если правил нет - применяются дефолтные, годная программа.

Не для всех приложений есть правила. И если правила нет она ругается.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

75. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 14-Сен-16, 01:34 
> Не для всех приложений есть правила. И если правила нет она ругается.

Запускает с дефолтными. Они менее эффективны, потому и ворчит.


Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

6. "Обновление системы изоляции приложений Firejail 0.9.42"  +3 +/
Сообщение от sage (??) on 11-Сен-16, 13:29 
Да. Более того, можно какому-нибудь пользователю назначить firejail в качестве шелла.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Обновление системы изоляции приложений Firejail 0.9.42"  –2 +/
Сообщение от Аноним (??) on 12-Сен-16, 02:12 
Подло-то как!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

37. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 12-Сен-16, 13:35 
Зато красиво-то как!
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

8. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 11-Сен-16, 15:11 
а есть ли какая джигурда, которая спрашивает разрешение на доступ к ресурсам через гуй?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от asavah (ok) on 11-Сен-16, 16:14 
палишься, вантузятнег, UAC нам ещё не завезли
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 11-Сен-16, 17:50 
а как же askpass у ssh/sudo ?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 11-Сен-16, 21:10 
а уас так умеет разве? Я имею ввиду как в сименсе было, 100500 лет назад
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

50. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 15:58 
> палишься, вантузятнег, UAC нам ещё не завезли

А gksudo и kdesudo вам завозили?


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 11-Сен-16, 23:20 
Теоретически – policykit.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 06:52 
>> policykit

Требует systemd в этих ваших дистрибутивах кроме Gentoo\Funtoo (где это правится флагами), Devuan (где этого по дефу нету), следовательно по сравнению с firejail неудобный комбайн.

http://suckless.org/sucks/systemd

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

69. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 06:17 
Хорошие tips&tricks по systemd. Можно узнать что:
1) Кто-то сделал переключение пользователей нормально, а не как обычно.
2) Можно управлять сеансами логично, а как привыкли.
3) Ротация логов может не требовать костылей и настроек в трех местах.
4) В системд можно настроить защиту системных дир и home от поползновений программ всего парой директив.
5) systemd умеет в provisioning. Там есть first boot и factory reset и теперь это не надо велосипедить самим.

А еще сайтом владеет Капитан Очевидность. К августу 2016 Капитан заметил что host может делать с guest все что пожелает. Правда не понятно чем тут системд виноват, vzctl виноват не меньше, а теоретически так можно даже с полным виртуализатором, хоть и сложнее.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

10. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Арчешкольник on 11-Сен-16, 15:14 
>Добавлены собственные профили изоляции

А вот это замечательно. В теории, должно решить проблему с работой сабжа на раче

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление системы изоляции приложений Firejail 0.9.42"  –2 +/
Сообщение от Аноним (??) on 11-Сен-16, 20:51 
Сколь угодно и как угодно изолируй, а всё равно дыра получается в итоге.
Нет доверенных систем, и быть не может.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 11-Сен-16, 21:23 
Почему?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Обновление системы изоляции приложений Firejail 0.9.42"  +1 +/
Сообщение от Dkg on 11-Сен-16, 22:07 
Это наподобие SandboxIE ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Клыкастый (ok) on 12-Сен-16, 10:49 
это на подобие jail.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от ага on 12-Сен-16, 12:58 
> это на подобие jail.

не, это херня какая-то. предполагаю - что вредная.
jail - тот как-то чудом обходится без apparmor, без seccomp и прочей неведомой бни, правила к которой пишешь не ты, проверять не просрано ли что - заманаешься, а результат совершенно неясный.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 13:25 
jail это суть chroot с дополнительной изоляцией. Firejail тоже не использует AppArmor - а кто его вообще использует?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

64. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от sage (??) on 12-Сен-16, 23:22 
Firejail не требует ничего из перечисленного, но может подключать другие технологии по желанию, для более тонкой настройки или более тонких ограничений. И правил seccomp особых нет, это просто ограничение некоторых системных вызовов. Нужен для того, чтобы, например, демон внутри Firejail не мог вызвать, например, mount вообще никак: ни на уровне capability, ни на уровне системного вызова.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

74. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 15:40 
> не, это херня какая-то. предполагаю - что вредная.
> jail - тот как-то чудом обходится без apparmor, без seccomp и прочей
> неведомой бни, правила к которой пишешь не ты, проверять не просрано
> ли что - заманаешься, а результат совершенно неясный.

бня неведома только для бсдшников которые слаще морковки ничего не ели. сабж отличная программа использующая фичи современных линуксов, за счет готовых правил - пользоваться просто и удобно. seccomp всего-лишь фильтр системных вызовов, наподобие pledge из openbsd. позволяет отпилить программам явно лишние системные вызовы. а если jails так не умеет - тем хуже для него.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

76. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от stalkerdroad (ok) on 14-Сен-16, 15:34 
Нет. Клоном Sandboxie является Mbox.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 07:39 
Это можно (достаточно легко) использовать чтобы запретить приложению доступ в сеть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 12-Сен-16, 10:11 
--net=none подойдёт?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 12-Сен-16, 13:26 
> Это можно (достаточно легко) использовать чтобы запретить приложению доступ в сеть?

iptables, группа без доступа в интернет. Выбирай.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Кирпич on 12-Сен-16, 13:32 
А есть в Linux встроенный файрволл, чтобы можно было легко запретить сеть выбранным приложениям?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Обновление системы изоляции приложений Firejail 0.9.42"  +1 +/
Сообщение от Аноним (??) on 12-Сен-16, 14:13 
> А есть в Linux встроенный файрволл

iptables

> чтобы можно было легко запретить сеть выбранным приложениям

Ну я уже говорил выше - создаёшь группу без доступа в нет.

И запускаешь так:
$ sg nointernet command

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

56. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 17:07 
> создаёшь группу без доступа в нет.

Как?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

57. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 12-Сен-16, 17:33 
>> создаёшь группу без доступа в нет.
> Как?

В гугле забанили?
https://habrahabr.ru/post/82933/

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

62. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 22:12 
Ох вы не представляете сколько лет и сколько вообще я гуглил эту тему, видимо не судьба была... Вообще, на самом деле, не факт, что это сработает: на сколько я помню я читал, что раньше в iptables была такая функция, а в новых ядрах её выпилили...
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

71. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 06:46 
> Вообще, на самом деле, не факт, что это сработает

Я проверил - работает всё по часам.
ПыСы: Оратор ниже дело говорит. Лучше firejail это делать и не парить себе мозг, однако с правами группы + iptable тоже способ.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Обновление системы изоляции приложений Firejail 0.9.42"  +1 +/
Сообщение от sage (??) on 12-Сен-16, 23:24 
> Ну я уже говорил выше - создаёшь группу без доступа в нет.
> И запускаешь так:
> $ sg nointernet command

Не очень удобный подход, т.к. не влияет на таблицу маршрутизации и может создавать лаги. Например, DNS-резолвер будет думать, что ему долго не отвечают. С Firejail отбирать интернет у программ куда проще.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

70. "Обновление системы изоляции приложений Firejail 0.9.42"  +/
Сообщение от Аноним (??) on 13-Сен-16, 06:45 
> Не очень удобный подход, т.к. не влияет на таблицу маршрутизации и может создавать лаги.

Соглашусь, однако это тоже способ.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

29. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 11:38 
Ну, глядишь, еще лет через 10 будет использоваться в ДЕ, как способ запуска по умолчанию. Тупо доверять мейнтейнеру или еще какому незнакомому чуваку каждой непонятной программы как бы глупо (уж про чтении из исходников и не говорите).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Обновление системы изоляции приложений Firejail 0.9.42"  –3 +/
Сообщение от Кирпич on 12-Сен-16, 13:33 
А что мешает читать исходники? Я вот перед тем как пользоваться новой программой всегда читаю исходники. Зато потом спокойно пользуюсь системой, не ожидая удара ножом из-за спины.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 12-Сен-16, 14:15 
> А что мешает читать исходники? Я вот перед тем как пользоваться новой
> программой всегда читаю исходники. Зато потом спокойно пользуюсь системой, не ожидая
> удара ножом из-за спины.

А если там исходников на два LibreOffice, тоже читаешь? Или просто предпочитаешь не пользоваться?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

67. "Обновление системы изоляции приложений Firejail 0.9.42"  –1 +/
Сообщение от Аноним (??) on 13-Сен-16, 03:32 
> А что мешает читать исходники? Я вот перед тем как пользоваться новой
> программой всегда читаю исходники.

заведомое вранье - ты даже исходники ядра ос не сможешь прочитать

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру