Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Info
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
    с установленными оперативными обновлениями (версия пакета lxc-astra не ниже 1.0.0+ci10)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
    с установленными оперативными обновлениями (версия пакета lxc-astra не ниже 1.0.0+ci10)

  • Astra Linux Common Edition 2.12.33 (версия пакета lxc-astra не ниже 1.0.0+ci10)



Общая информация

Firejail - это система изолированного выполнения графических и консольных приложений. Целью применения Firejail является:

Info
Минимизация риска компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ.


Для изоляции в Firejail используются:

Info
  • Механизм пространств имён (namespaces)
  • Фильтрация системных вызовов (seccomp-bpf)


После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования.

В отличие от LXC, Firejail проще в настройке, и не требует подготовки системного образа: состав контейнера формируется «на лету» на основе содержимого текущей ФС, и удаляется после завершения работы приложения.

Info
Firejail можно применять и для запуска контейнеров LXC.


Предоставляются гибкие средства задания правил доступа к файловой системе:

Info
  • Можно определять к каким файлами и директориям разрешён или запрещён доступ;
  • Можно подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только чтением;
  • Можно совмещать директории через bind-mount и overlayfs.


Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для:

Info
  • Firefox;
  • Chromium;
  • VLC.

Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты Firejail, например,

Command
firejail firefox