Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленными оперативными обновлениями (версия пакета lxc-astra не ниже 1.0.0+ci10)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12.33 (версия пакета lxc-astra не ниже 1.0.0+ci10)
Общая информация
Firejail - это система изолированного выполнения графических и консольных приложений. Целью применения Firejail является:
Для изоляции в Firejail используются:
- Механизм пространств имён (namespaces)
- Фильтрация системных вызовов (seccomp-bpf)
После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования.
В отличие от LXC, Firejail проще в настройке, и не требует подготовки системного образа: состав контейнера формируется «на лету» на основе содержимого текущей ФС, и удаляется после завершения работы приложения.
Предоставляются гибкие средства задания правил доступа к файловой системе:
- Можно определять к каким файлами и директориям разрешён или запрещён доступ;
- Можно подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только чтением;
- Можно совмещать директории через bind-mount и overlayfs.
Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для:
- Firefox;
- Chromium;
- VLC.
Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты Firejail, например,