OpenForum RSS: Обновление системы изоляции приложений Firejail 0.9.42 https://www.opennet.ru/openforum/vsluhforumID3/109068.html Состоялся (https://firejail.wordpress.com/) релиз проекта Firejail 0.9.42 (https://firejail.wordpress.com/), в рамках которого развивается система для изолированного выполнения графических, консольных и серверных приложений. Применение Firejail позволяет минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Для изоляции в Firejail <br>используется (https://firejail.wordpress.com/features-3/) механизм пространств имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. Программа написана на языке Си, распространяется (https://github.com/netblue30/firejail) под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены (https Обновление системы изоляции приложений Firejail 0.9.42 (stalkerdroad) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#76 Wed, 14 Sep 2016 12:34:05 GMT Нет. Клоном Sandboxie является Mbox.<br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#75 Tue, 13 Sep 2016 22:34:05 GMT &gt; Не для всех приложений есть правила. И если правила нет она ругается. <br><br>Запускает с дефолтными. Они менее эффективны, потому и ворчит. <br><br><br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#74 Tue, 13 Sep 2016 12:40:05 GMT &gt; не, это херня какая-то. предполагаю - что вредная.<br>&gt; jail - тот как-то чудом обходится без apparmor, без seccomp и прочей <br>&gt; неведомой бни, правила к которой пишешь не ты, проверять не просрано <br>&gt; ли что - заманаешься, а результат совершенно неясный.<br><br>бня неведома только для бсдшников которые слаще морковки ничего не ели. сабж отличная программа использующая фичи современных линуксов, за счет готовых правил - пользоваться просто и удобно. seccomp всего-лишь фильтр системных вызовов, наподобие pledge из openbsd. позволяет отпилить программам явно лишние системные вызовы. а если jails так не умеет - тем хуже для него.<br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#73 Tue, 13 Sep 2016 03:54:06 GMT &gt; Если правил нет - применяются дефолтные, годная программа.<br><br>Не для всех приложений есть правила. И если правила нет она ругается.<br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#71 Tue, 13 Sep 2016 03:46:47 GMT &gt; Вообще, на самом деле, не факт, что это сработает<br><br>Я проверил - работает всё по часам.<br>ПыСы: Оратор ниже дело говорит. Лучше firejail это делать и не парить себе мозг, однако с правами группы + iptable тоже способ.<br><br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#70 Tue, 13 Sep 2016 03:45:41 GMT &gt; Не очень удобный подход, т.к. не влияет на таблицу маршрутизации и может создавать лаги.<br><br>Соглашусь, однако это тоже способ.<br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#69 Tue, 13 Sep 2016 03:17:32 GMT Хорошие tips&tricks по systemd. Можно узнать что:<br>1) Кто-то сделал переключение пользователей нормально, а не как обычно.<br>2) Можно управлять сеансами логично, а как привыкли.<br>3) Ротация логов может не требовать костылей и настроек в трех местах.<br>4) В системд можно настроить защиту системных дир и home от поползновений программ всего парой директив.<br>5) systemd умеет в provisioning. Там есть first boot и factory reset и теперь это не надо велосипедить самим.<br><br>А еще сайтом владеет Капитан Очевидность. К августу 2016 Капитан заметил что host может делать с guest все что пожелает. Правда не понятно чем тут системд виноват, vzctl виноват не меньше, а теоретически так можно даже с полным виртуализатором, хоть и сложнее.<br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#68 Tue, 13 Sep 2016 00:45:45 GMT &gt; Освободим приложения от гнёта изоляции!<br><br>Отличная идея. Давай рутовый доступ к своему компу.<br> Обновление системы изоляции приложений Firejail 0.9.42 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/109068.html#67 Tue, 13 Sep 2016 00:32:07 GMT &gt; А что мешает читать исходники? Я вот перед тем как пользоваться новой <br>&gt; программой всегда читаю исходники.<br><br>заведомое вранье - ты даже исходники ядра ос не сможешь прочитать<br>