The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск системы изоляции приложений Firejail 0.9.60 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от opennews (??), 28-Май-19, 12:48 
Увидел свет (https://github.com/netblue30/firejail/releases/tag/0.9.60) релиз проекта Firejail 0.9.60 (https://firejail.wordpress.com/), в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail  позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется (https://github.com/netblue30/firejail) под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены (https://sourceforge.net/projects/firejail/files/firejail/) в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).

Для изоляции в Firejail используются (https://firejail.wordpress.com/features-3/)  пространства имён (namespaces),  AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.

В отличие от средств контейнерной изоляции firejail предельно прост (https://firejail.wordpress.com/documentation-2/basic-usage/) в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount  и overlayfs.

Для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission, подготовлены готовые профили (https://firejail.wordpress.com/documentation-2/building-cust.../) изоляции системных вызовов.  Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента  утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".

В новом выпуске:


-  Устранена уязвимость, позволяющая вредоносному процессу обойти механизм ограничения системных вызовов. Суть уязвимость в том, что фильтры Seccomp копируются в каталог /run/firejail/mnt, доступный на запись внутри изолированного окружения. Запускаемые в режиме изоляции вредоносные процессы могут изменить эти файлы, что приведёт к тому, что новые процессы, запущенные в этом же окружении, будут выполнены без применения фильтра системных вызовов;

-  В фильтре memory-deny-write-execute обеспечена блокировка вызова "memfd_create";
-  Добавлена новая опция "private-cwd" для изменения рабочего каталога для jail;
-  Добавлена опция "--nodbus" для блокировки сокетов D-Bus;
-  Возвращена поддержка  CentOS 6;
-  Прекращена (https://github.com/netblue30/firejail/pull/2601) поддержка пакетов в форматах flatpak (https://flatpak.org/) и snap (https://snapcraft.io/).
Указано (https://github.com/netblue30/firejail/pull/2601/commits/581d...), что для данных пакетов следует использовать их собственный инструментарий;

-  Добавлены новые профили для изоляции 87 дополнительных программ,  в числе которых mypaint, nano,  xfce4-mixer,  gnome-keyring, redshift, font-manager, gconf-editor, gsettings, freeciv, lincity-ng, openttd,  torcs, tremulous, warsow,  freemind, kid3, freecol, opencity,  utox,  freeoffice-planmaker, freeoffice-presentations, freeoffice-textmaker,  inkview, meteo-qt, ktouch, yelp и cantata.

URL: https://github.com/netblue30/firejail/releases/tag/0.9.60
Новость: https://www.opennet.ru/opennews/art.shtml?num=50760

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 28-Май-19, 12:48 
а ограничивать доступ в интернеты оно умеет? А то я по-старинке режу через иптаблес и неймспейсы
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +3 +/
Сообщение от slauka (?), 28-Май-19, 12:49 
Судя по истории изменений, Firejail также можно считать потенциально уязвимой программой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +1 +/
Сообщение от Аноним (3), 28-Май-19, 12:53 
Не забываем, что это suid-программа, в котороый уже были уязвимости, позволяющие получить root: https://www.opennet.ru/opennews/art.shtml?num=45824
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (4), 28-Май-19, 13:08 
...при условии, что приложение-вредонос уже запущено _извне_ сэндбокса
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 28-Май-19, 13:11 
да, через неймсейсы же и делает
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +1 +/
Сообщение от Аноним (-), 28-Май-19, 13:13 
тогда только bubblewrap
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Выпуск системы изоляции приложений Firejail 0.9.60 "  –1 +/
Сообщение от abi (?), 28-Май-19, 13:19 
Это прекрасно, но не на гнилых процессорах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +1 +/
Сообщение от vn971 (ok), 28-Май-19, 13:38 
bubblewrap самое оно.

Пользовался firejail-ом несколько лет. Писал все скрипты сам, знал почти опции и как оно примерно работает. Задолбался работать со всеми этими глюками, обилием критических уязвимостей (одну зарепортил сам, кстати -- позволяла обнулить любой файл в хост-системе).

Ушёл в bwrap, не жалею. В начале этого года извёл, наконец, последние скрипты на нём и переписал на bwrap. Всё чище, приятнее, никаких исключений и особых правил.

Если кто пишет firejail-правила самостоятельно -- рекомендую попробовать bwrap.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 28-Май-19, 13:39 
RISC-V не гниет
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 28-Май-19, 14:02 
а как оно, в плане дружелюбности для обычного_пользователя? У firejail есть заготовленный список правил для ленивых, вики с кучей примеров настройки на все случаи жизни и гуй для неосиляторов консоли, а что тут?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +1 +/
Сообщение от Аноним (11), 28-Май-19, 14:20 
Apparmor уже не торт? Кто-то даже профили пишет https://github.com/viewizard/gentoo-apparmor/tree/master/app...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выпуск системы изоляции приложений Firejail 0.9.60 "  –1 +/
Сообщение от Аноним (12), 28-Май-19, 15:05 
А какой смысл ограничивать тот же xfce4-mixer? Ладно браузер, там недоверенный жабаскрипт и прочий wasm, ладно mypaint - могут быть эксплоиты в редактируемых изображениях, с натяжкой даже redshift - он к сети обращается для определения координат, если их не задать вручную, и теоретически можно подменой ответа сервера сделать какую-нибудь бяку. Но вот на сценарий эксплуатации уязвимости в ползунке регулировки громкости у меня не хватает фантазии.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (13), 28-Май-19, 17:49 
Ну например уязвимость в протоколе/реализации pulseaudio любое приложение выводящее звук потенциальный атакующий, если не изолировать саму пульсу и всех её клиентов, то остается повышенный риск эксплуатации такой уязвимости.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Выпуск системы изоляции приложений Firejail 0.9.60 "  –9 +/
Сообщение от Аноним (14), 28-Май-19, 18:36 
>Программа написана на языке Си

Изоляция? Ну-ну.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (17), 28-Май-19, 19:02 
Она использует apparmor, если скомпилировать с этой опцией.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (17), 28-Май-19, 19:02 
Локальное повышение привилегий - это тоже уязвимость.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +3 +/
Сообщение от Аноним (17), 28-Май-19, 19:03 
Все программы потенциально уязвимые.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Выпуск системы изоляции приложений Firejail 0.9.60 "  –1 +/
Сообщение от Аноним (17), 28-Май-19, 19:04 
Перепиши на ржавчину.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (17), 28-Май-19, 19:06 
это разве не самодостаточные пакеты, которые ффтoпку?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +1 +/
Сообщение от Аноним (20), 28-Май-19, 20:36 
А что не так?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +5 +/
Сообщение от Аноним (21), 28-Май-19, 20:54 
Хакнры доберутся до пшшаудио и включат русский рэп.
Это ИМХО пострашнее всяких Spectre.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +2 +/
Сообщение от Аноним (-), 28-Май-19, 21:32 
Не модно, не молодежно, же. Для вэбмакаки Си - это даже не граната, а ядрена боеголовка на пару магатонн.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (23), 28-Май-19, 21:39 
Лол атакуют всегда там где не ждут. Через ползунок можно поднять громкость и через динамики данные передавать на ультразвуке. Узко мыслите товарищ.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (23), 28-Май-19, 21:41 
пох залогинься. Кроме вебмакак сейчас никого и не осталось. Так что с си потенциально опасно.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +1 +/
Сообщение от Аноним (-), 28-Май-19, 21:45 
Я не пох. Но таки да
> Кроме вебмакак сейчас никого и не осталось.

и это печально.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 28-Май-19, 23:41 
А смысл, оно лишь удобная обертка к фичам ядра. Тогда надо ядро сначала переписать.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 28-Май-19, 23:46 
Нет, это паpaзuтopии туда. Путаешь, как всегда.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

28. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (28), 29-Май-19, 00:36 
что люди не делают, лишь бы selinux не использовать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от anonymous (??), 29-Май-19, 06:45 
> что люди не делают, лишь бы selinux не использовать

selinux отдельно, контейнеры отдельно. Просто банально страшно давать яве доступ к файловой системе и хочется ограничить его.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (30), 29-Май-19, 08:26 
Кто же вас заставляет Интел использовать?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

31. "Выпуск системы изоляции приложений Firejail 0.9.60 "  +/
Сообщение от Аноним (-), 29-Май-19, 15:28 
Тот у кого руки от плеч и голова от шеи, напишет на чистом Си суперсекурную прогу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру