The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск Firejail 0.9.38, инструмента для изоляции приложений"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от opennews (??) on 14-Фев-16, 14:10 
Состоялся (https://l3net.wordpress.com/2016/02/04/firejail-0-9-38-relea.../) выпуск утилиты
Firejail 0.9.38 (https://firejail.wordpress.com/), предоставляющей средства для снижения риска компрометации системы при запуске не заслуживающих доверия приложений. Firejail запускает приложения в режиме sandbox-изоляции, формируемом
при помощи (https://firejail.wordpress.com/features-3/) механизма пространств имён (namespaces) и фильтрации системных вызовов (seccomp-bpf) в Linux. Утилита оформлена в виде исполняемого SUID-файла, который может использоваться в качестве прослойки для запуска различных консольных, серверных и графических приложений.

Профили (https://firejail.wordpress.com/documentation-2/building-cust.../) изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmissionetc.  После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си и может работать в любом дистрибутиве Linux с ядром старше 3.0. Исходные тексты открыты под лицензией GPL v2.  


В отличие от средств контейнерной изоляции firejail предельно прост (https://firejail.wordpress.com/documentation-2/basic-usage/) в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. При желании, Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount  и overlayfs.


Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента  утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start". Отдельно развивает графический интерфейс Firetools, написанный с использованием библиотеки Qt, предоставляющий инструменты для редактирования профилей изоляции, отображающий статистику и интегрируемый в системный лоток.

<center><a href="https://firejail.files.wordpress.com/2015/12/firetools-main.... src="https://www.opennet.ru/opennews/pics_base/0_1455446706.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

URL: https://l3net.wordpress.com/2016/02/04/firejail-0-9-38-relea.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=43870

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от котя (??) on 14-Фев-16, 14:10 
Ох и адовый скрин. Оно так и в жизни выглядит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +8 +/
Сообщение от kido email on 14-Фев-16, 14:19 
В жизни это в первую очередь cli.
Пройдите на оф. сайт, там есть примеры команд. Или поставьте и почитайте man.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +3 +/
Сообщение от nnoname on 14-Фев-16, 14:36 
Годно. Пусть развивается.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –4 +/
Сообщение от Аноним (??) on 15-Фев-16, 01:35 
тебя забыли спросить
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +3 +/
Сообщение от Клыкастый (ok) on 15-Фев-16, 10:23 
не заводись. воспринимай это как одобрение и пожелание успеха. ну, типа: "спасибо за хорошую работу, творческих успехов". хотя конечно задонатить - полезнее )
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

4. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +1 +/
Сообщение от Аноним (??) on 14-Фев-16, 14:53 
Так себе sandbox. Слишком много "умных" настроек из коробки и сильно не хватает нормального белого списка. Использую для той же цели appjail: там хоть и нет seccomp-bpf, зато настройка гораздо проще, и X11 работает из коробки (в firejail только без отмонтирования /home).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +3 +/
Сообщение от Аноним (??) on 14-Фев-16, 17:07 
Оно же загнулось, не?
По крайней мере здесь: https://github.com/brain0/appjail, последний коммит за 2015 год и то, "Fix build error in network.c" и всё в таком духе. Не подумайте, что я сторонник всего нового, и что мне обязательно нужна свежая версия, но в таких вещах, я лучше буду юзать то, что развивается и где фиксятся баги, связанные с безопасностью, нежели багфиксы системы сборки. В таком случае уж лучше грамотно настроенный chroot юзать, чем дырявый jail.
З.Ы. Всё вышенаписаное личное ИМХО. И если я указал не ту репу, тыкнете пожалуйста на правильную, заранее спасибо.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Аноним (??) on 14-Фев-16, 20:08 
Ещё раз, firejail по умолчанию не отмонтирует /home. Для меня это достаточная причина его не использовать.

Абстрактный троян, пытающийся за минимум времени беспалевно добиться результатов, будет тянуть файлы пользователя: ключи, пароли и т. д. Автор firejail пытается бороться с этим внесением всех "интересных" файлов и директорий в чёрный список, что нихрена не работает на практике. Чуть более продвинутый троян может прописывать себя в исполняемые файлы, чему firejail тоже никак не мешает. Есть и режим с отмонтированием /home, но он не развивается и практически не юзабелен. Документация так-себе, модульностью и не пахло. В то же время автор занят поиском способов борьбы с кейлоггерами в X11, что, мягко скажем, напоминает ИБД.

Про уязвимости в appjail не в курсе, да и где им там быть? Вся основная логика — в ядре. Весь код не читал, но принцип работы прост как пробка, обновлять и роддерживать там особо нечего. Короче, пофиксил пару специфичных для моего дистрибутива багов и пользуюсь, УМВР.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –1 +/
Сообщение от Аноним (??) on 15-Фев-16, 08:38 
Ок, попробую, раз уж вы так его хвалите. Но всё же, уязвимости в ядре никто не отменял, и это напрягает больше всего.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Led (ok) on 16-Фев-16, 00:32 
> Но всё же, уязвимости в ядре никто не отменял, и это напрягает больше всего.

Уязвимости в ядре? Это спермотоксикоз - с возрастом пройдёт.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

6. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +1 +/
Сообщение от Аноним (??) on 14-Фев-16, 17:24 
Есть истории успеха со Скайпом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +1 +/
Сообщение от Аноним (??) on 14-Фев-16, 18:01 
Есть:
https://github.com/sameersbn/docker-skype
web.skype.com
https://github.com/EionRobb/skype4pidgin/tree/master/skypeweb
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Музыкант on 15-Фев-16, 13:19 
Пардон, но то ж докер, а вопрос был про Firejail... А вторая ссылка - спасибо, не знал. Неужто запилили нативную поддержку скайпа под Пиджин?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от MLP on 15-Фев-16, 15:06 
Нет, не запилили. Это плагин про работу через WEB API скайпа, который экспериментальный. Работает плохо по сравнению с нативным клиентом.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –1 +/
Сообщение от Музыкант on 15-Фев-16, 19:54 
Жаль... А может и не жаль. Жаль что друзей на Tox переманить не удаётся. У них классическая психология "простых людей". Чем пользуется большинство - то существует и то правильно, законно, а всё остальное - от лукавого, нечто не совсем законное, а иначе бы большинство этим пользовалось. Так образуется замкнутый круг, который разомкнуть может только агрессивный маркетинг.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Аноним (??) on 15-Фев-16, 23:38 
Ну пока в токсе проблемы две. Нельзя редактировать и удалять отправленные сообщения и на андроиде нет видео-аудио звонка. А это даже меня напрягает, хотя пользуюсь им
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Гентушник (ok) on 16-Фев-16, 16:22 
> удалять отправленные сообщения

Какой в этом практический смысл? Кто гарантирует что клиент отправителя исполнит вашу команду и удалит сообщение?
Напоминает функцию "удалить себя из друзей" в ICQ.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –1 +/
Сообщение от KBAKEP (ok) on 17-Фев-16, 01:01 
Я бы сказал, что мотивация иная, банальная. На примере жены: "Зачем мне твой ХХХ? Там нет никого из моих контактов. А в вайбере я сразу нашла кучу своих друзей и могу с ними общаться." Вот и всё. А агрессивный маркетинг может помочь, безусловно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –1 +/
Сообщение от Аноним (??) on 15-Фев-16, 23:37 
skype по http? то есть вообще не защищенный?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –2 +/
Сообщение от Аноним (??) on 14-Фев-16, 20:22 
Осталось сделать "Программы и компоненты", как в винде, чтобы было видно весь список установленных приложений и легко их удалять. И чтобы установка всего п.о. умолчанию шла через эту Firejail. И про антивирусы можно забыть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +2 +/
Сообщение от Аноним (??) on 14-Фев-16, 20:25 
Уже есть в Андроид.

Примечательно, что часть про вирусы сбылась с точностью до наоборот.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –1 +/
Сообщение от kai3341 (ok) on 15-Фев-16, 12:06 
Чем оно лучше schroot?
Правильно ли я понял: sandbox не реализует контейнерную виртуализацию.
И если это так, то в чём же фишка sandbox'а, в чём проявляется его защищённость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Гентушник (ok) on 16-Фев-16, 16:42 
schroot в основном лишь автоматизирует команду chroot.
Использование только chroot не безопасно, т.к. он изначально не создавался для этих целей. (см например https://filippo.io/escaping-a-chroot-jail-slash-1/ )

Сабж в дополнении к этому использует другие функции ядра для создания полноценного изолированного контейнера:
https://firejail.wordpress.com/features-3/

Всё это можно сделать "руками", используя coreutils и например bash. Если вам хочется.
Тут просто всё это автоматизировано.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Аноним (??) on 15-Фев-16, 23:55 
Хм, запустил firejail skype, обменялся сообщениями а в Firetools как было RX и TX по 0,00 так и осталось
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от Аноним (??) on 16-Фев-16, 21:59 
Значит скупэ работает через libastral.so
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  –1 +/
Сообщение от Аноним (??) on 17-Фев-16, 22:45 
Лучше бы уже что-то сделали с интегрированным в X.Org кейлогером. Иначе смысл любой песочницы просто теряется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Выпуск Firejail 0.9.38, инструмента для изоляции приложений"  +/
Сообщение от dsfa on 09-Мрт-16, 08:37 
xephyr
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру