The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск системы изоляции приложений Firejail 0.9.72"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от opennews (??), 17-Янв-23, 12:14 
Опубликован релиз проекта Firejail 0.9.72, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58493

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от Аноним (1), 17-Янв-23, 12:14 
bubblewrap лучше. А флатпак еще лучше (именно с точки зрения изоляции, а не способе доставки приложений, который мне тоже противен).
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск системы изоляции приложений Firejail 0.9.72"  –10 +/
Сообщение от Аноним (2), 17-Янв-23, 12:28 
Это уязвимые технологии, чем сложнее тем больше вектор атаки. Именно с точки зрения изоляции это всё дно, изоляция невозможно, это всё миф для наивных хомяков.
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск системы изоляции приложений Firejail 0.9.72"  +4 +/
Сообщение от Аноним (1), 17-Янв-23, 12:42 
изоляция возможна, это не миф, а реальность. Но есть втюхнологии, которые изоляции почти не поддаются:

- иксы: спасибо дидам, изоляции нет вообще, через Xephyr не пробросишь видюху, а Xpra показывает слайдшоу на локалхосте так, словно подключаешься к компу в антарктиде
- pulseaudio: спасибо большое поттерингу. К счастью есть pipewire.
- d-bus: спасибо аффтарам, изоляции нет. К счастью флатпак явил миру dbus-proxy.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (2), 17-Янв-23, 13:27 
Изоляция на обычном железе физически не осуществима. QubesOS это раз за разом подтверждает, и обычная виртуализация это просто шутка. Изоляция никогда не работала и изоляция не на физическом уровне так тем более. И новые костыли только оказываются ещё более дырявыми.
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск системы изоляции приложений Firejail 0.9.72"  +2 +/
Сообщение от Аноним (1), 17-Янв-23, 14:04 
У тебя просто какое-то свое особое определение слову "изоляция". Среди обычных людей это слово означает, что ядро и прочие системные компоненты будут возвращать фуфловые ресурсы при использовании их официальных апи. К примеру, readdir от корня вернет фуфловый список файлов, не имеющих отношения к реальной системе, а официальный апи какого-нибудь пульсаудио сообщит изолированному приложению, что микрофона нет, даже если в реальной системе он есть. И лишь явное разрешение от пользователя может заставить тот или иной апи ответить не фуфелом, а реальностью. Следующая еще более защищенная ступень после изоляции - это виртуализация, но не всем интересно терять в производительности.
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск системы изоляции приложений Firejail 0.9.72"  –2 +/
Сообщение от Аноним (2), 17-Янв-23, 14:09 
Я о том и говорю, что это баззворды для хомяков. Изоляция, которая элементарно обходится. Виртуализация, которая по своему принципу ничего не может изолировать. Это у тебя какие-то свои определения.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск системы изоляции приложений Firejail 0.9.72"  +2 +/
Сообщение от Аноним (31), 17-Янв-23, 18:40 
Ты ещё скажи что докеры всякие используются безопасности ради, а не из-за радикального удешевления управления окружением, когда поднимать и тушить контейнеры можно по щелчку пальца, получая достаточно чистый stateless ресурс, в котором перезапуск гарантирует очистку всяких временных файлов, зомби-процессов и прочего.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Dzen Python (ok), 17-Янв-23, 20:46 
>  в котором перезапуск гарантирует очистку всяких временных файлов, зомби-процессов и прочего.

Хе.
Не писать так, чтобы не было зомби.
Не писать так, чтобы временные файлы чистились в idle.
Не писать обработку аварийных отказов.
Зачем? Это технологии древних, только они могли с ними работать. Современному тяп-ляп-в-продкшн это не интересно. Ему интересно искать угнетение чёрных транс-арабов и гей-ниггеров в твиттере под смуззи. А вот ему и изоляция подъехала. Обозвал он её умным словом "stateless" и пошел дальне писать жабоскрипт на электроне.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (49), 19-Янв-23, 02:16 
чел, "тяп-ляп-в-продакшн" неизбежное следствие того, что хотелки заказчика нужно было закрыть еще вчера, но попутно выяснилось, что аналитику не хватило телепатии, чтобы выудить из заказчика некоторые важные детали, которые он считал очевидными, поэтому еще нет релиза - все с горящим седалищем выгребают баги. У тебя-то наверное все время мира есть, чтобы свою какую-то поделку полировать до блеска. И тестами все обмазать.
P.S. пишу на плюсах и джаве.
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от 1 (??), 18-Янв-23, 10:00 
Межделмаш со своим LPAR не согласна с тобой с прошлого века.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

44. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (2), 18-Янв-23, 10:27 
Фактор Неуловимого Джо силён у голубого гиганта.
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от mos87 (ok), 19-Янв-23, 09:48 
джо настолько неуловим, что приносит голубым триллиарды зеленых президентов.
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (2), 19-Янв-23, 10:45 
Именно, кровавый интерпрайз.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (2), 19-Янв-23, 10:49 
Да, читал сборочную инструкцию. Я так понял, это только венды касается, потому что на линуксе нет разницы в эффективности работы растеризации, она очень низкая независимо от компилятора.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

57. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от mos87 (ok), 19-Янв-23, 09:50 
виртуализация, распараллеливание, многопроцессорность, железное ускорение операций и т.д. и тому подобное родом из 60х-70х

это только васяны думают, что 64bit родились с Атлонами.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

21. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (21), 17-Янв-23, 15:35 
>через Xephyr не пробросишь видюху

virgl_test_server

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

55. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (55), 19-Янв-23, 09:13 
Не поддерживается virgl на половине машин, где вообще может понадобиться изолировать Иксы. И не для того уходят от виртуализации в изоляцию, чтобы вновь к этому возвращаться.
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск системы изоляции приложений Firejail 0.9.72"  –2 +/
Сообщение от Бывалый смузихлёб (?), 17-Янв-23, 13:10 
> изоляция невозможно, это всё миф для наивных хомяков.

Ты ещё скажи, что презики не защищают от кучи болезней
Но, вообще-то, реально не защищают. Ни от вич, ни от гепатитов. В лучшем случае, от детей, да и то не всегда

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

12. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (12), 17-Янв-23, 14:00 
Защищают детей от ВИЧ.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (33), 17-Янв-23, 19:52 
Риск заразиться ВИЧ при сексе с заведомо инфицированной самкой без преза - 1.5%. Если вы не садисты, конечно. Риск заразиться через слюну и бытовым путём - 0, так как для заражения необходимы активный вирус и микротравмы.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

43. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от 1 (??), 18-Янв-23, 10:02 
Завсегда можно заполучить эту заразу при переливании крови (почти 100% успеха) и стоматологии.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (5), 17-Янв-23, 13:07 
нет ничего лучше выключенного компа
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (12), 17-Янв-23, 13:59 
Это-то да, но иногда и поработать требуется.
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от Аноним (19), 17-Янв-23, 15:01 
от работы кони дохнут
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск системы изоляции приложений Firejail 0.9.72"  +2 +/
Сообщение от Аноним (21), 17-Янв-23, 15:36 
пони
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от Big Robert TheTables (?), 17-Янв-23, 15:57 
автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года[1][2][3]. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питания), эта подсистема продолжает работать, даже когда компьютер отключен

эта подсистема продолжает работать, даже когда компьютер отключен

даже когда компьютер отключен

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

16. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Голум (?), 17-Янв-23, 14:15 
Но флатпак и так использует bwrap для изоляции.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (1), 17-Янв-23, 14:46 
bubblewrap - низкоуровневая утилита. Флатпак - конечное решение, в котором используется множество низкоуровневых утилит, включая (но не ограничиваясь) bubblewrap.
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (12), 17-Янв-23, 12:38 
состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения
А можно как-то для изолируемого приложения добавлять библиотеки, которые отсутствуют в хостовой системе без размещения их в хостовой?
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск системы изоляции приложений Firejail 0.9.72"  –1 +/
Сообщение от Аноним (21), 17-Янв-23, 15:41 
Можно, разрешаю.
Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Ддд (?), 18-Янв-23, 23:06 
Кто мешает скачать их в контейнер?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Выпуск системы изоляции приложений Firejail 0.9.72"  –2 +/
Сообщение от Аноним (7), 17-Янв-23, 13:15 
> позволяющую минимизировать риск компрометации основной систем
> при запуске не заслуживающих доверия или
> потенциально уязвимых программ.
> Программа написана на языке Си,

Авторы знатные тролли

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от ИмяХ (?), 17-Янв-23, 16:12 
Самое главное:
>>исполняемый файл firejail устанавливается с флагом SUID root
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (37), 17-Янв-23, 23:39 
> Авторы знатные тролли

Движок опеннета тоже:
> Главная ссылка к новости (https://github.com/netblue30/f...)
> OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
> OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
> OpenNews: Выпуск системы изоляции приложений Firejail 0.9.62
> OpenNews: Серия уязвимостей в Firejail
>

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (9), 17-Янв-23, 13:45 
>  AppArmor

Т.е. в Федоре работать не будет?

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (12), 17-Янв-23, 13:57 
В Федоре нет FUSE?
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от mikhailnov (ok), 17-Янв-23, 23:32 
Будет, без Apparmor (но сейчас можно несколько LSM-модулей включать)
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (15), 17-Янв-23, 14:12 
> состав контейнера формируется на лету на основе содержимого текущей ФС

Меня это настораживает.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Роман (??), 17-Янв-23, 14:18 
Про OpenVZ интересно, это как бы его на ванильных ядрах запускать
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (21), 17-Янв-23, 15:41 
А ты не запускай на ванильных вёдрах.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Самый умный из вас (?), 17-Янв-23, 16:33 
Несколько раз я на неё смотрел, но что-то отталкивает каждый раз. Есть пользователи?
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 18-Янв-23, 01:12 
Я пользуюсь.
Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Самый умный из вас (?), 18-Янв-23, 17:43 
Есть какие-то прям супер плюсы?
Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Вы забыли заполнить поле Name (?), 19-Янв-23, 03:06 
> Есть какие-то прям супер плюсы?

Не могу сказать. Я искал изоляюцию для приложений, чтобы было просто настроить и выбрал его. Использую для повседневных приложений: браузер, почтовый клиент, редактор, плеер, менеджер паролей и т.п. Для всех приложений были профили из коробки, единственное, что я правил это добавлял доступ к некоторым директориям, например, чтобы их браузер видел. Из последнего вытекает проблема, что бывает сложно понять почему в приложении перестает работать какой-то функционал, например, в том же firefox c дефолтным профилем молча не работает кнопка "открыть скачанный файл в директории", потому что в изоляции firefox не видит чем открывать.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от kusb (?), 17-Янв-23, 16:43 
Friendzone
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск системы изоляции приложений Firejail 0.9.72"  –1 +/
Сообщение от Аноним (30), 17-Янв-23, 18:01 
Что только не придумают лишь бы виртуалки не использовать.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (31), 17-Янв-23, 18:44 
Конечно, многим удобная и дешёвая масштабируемость нужна без сильных потерь в производительности. Контейнеризация для одних задач, виртуализация для других.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск системы изоляции приложений Firejail 0.9.72"  +1 +/
Сообщение от Аноним (34), 17-Янв-23, 20:02 
Если так все просто, почему на системном уровне это давным давно не встраивают в линуксы? Нахрена еще одна программа
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от ПомидорИзДолины (?), 18-Янв-23, 08:08 
На системном уровне все с 2007 года встроенно.

Но для использования этих технологий напрямую у одних не хавтает мозгов, а у других времени.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от ПомидорИзДолины (?), 18-Янв-23, 08:09 
Да, они потом еще вторую версию релизили в ведро, но после этого тоже куча воды утекла уже.
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск системы изоляции приложений Firejail 0.9.72"  –1 +/
Сообщение от yet another anonymous (?), 17-Янв-23, 23:58 
> В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.

Удивительные слова. Собственно, т.н. "подготовка" (чтобы всё ещё можно было работать, но не про..ть все полимеры) и составляет основную проблему пользования SE/AppArmor/Astra. И этим занимаются вполне себе квалифицированные команды. А тут --- "каждая домохозяйка...".

Не верю. (C) Алексеев.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (45), 18-Янв-23, 11:02 
>В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации

Так может написать только человек _ни разу_ не пользовавшийся firejail.

В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium так, чтобы он не вылезал из netns.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Вы забыли заполнить поле Name (?), 19-Янв-23, 03:25 
>>В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации
> Так может написать только человек _ни разу_ не пользовавшийся firejail.
> В качестве несложного домашнего задания предлагаю анонимам запустить в firejail chromium
> так, чтобы он не вылезал из netns.

Речь про это https://github.com/netblue30/firejail/issues/4087 ?

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (45), 19-Янв-23, 05:25 
Вот ты понимаешь, что там написано?

Я нет. Кроме того, что если хромого запускать с правильным ключом, он соглашется не вылезать из сендбокса.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (-), 18-Янв-23, 22:30 
С вланами до сих пор грохает сеть?
Странно это, изоляция сети - одна из главных функций, а поправить никто не может. А было бы удобно..
Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Аноним (53), 19-Янв-23, 04:30 
Вланы на локалхосте — это какое-то ультракраснoглазие. Серверы обычно таким не страдают, за исключением очень специальных серверов, которые крайне редко нужны в реальности.
Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от pofigist (?), 19-Янв-23, 10:29 
Узкоспециализированные сервера? Это например нода в кластере?
Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от mos87 (ok), 19-Янв-23, 09:52 
юзай голые namespaces если они не грохают
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

63. "Выпуск системы изоляции приложений Firejail 0.9.72"  +/
Сообщение от Meddinaemail (ok), 19-Янв-23, 22:31 
Ннда, Virtuozzo, ностальгия...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру