Firejail Security Sandbox

Acerca de

Firejail es un programa SUID que reduce el riesgo de violaciones de seguridad al restringir el entorno de ejecución de aplicaciones no confiables que usan espacios de nombres de Linux y seccomp-bpf . Permite que un proceso y todos sus descendientes tengan su propia vista privada de los recursos del kernel compartidos globalmente, como la pila de red, la tabla de procesos, la tabla de montaje.

Escrito en C y prácticamente sin dependencias, el software se ejecuta en cualquier computadora Linux con una versión de kernel 3.x o más reciente. La caja de arena es ligera, la sobrecarga es baja. No hay archivos de configuración complicados para editar, ni conexiones de socket abiertas, ni demonios ejecutándose en segundo plano. Todas las funciones de seguridad se implementan directamente en el kernel de Linux y están disponibles en cualquier computadora con Linux. El programa se lanza bajo licencia GPL v2 .

Firejail puede realizar cualquier tipo de proceso: servidores, aplicaciones gráficas e incluso sesiones de inicio de sesión de usuarios. El software incluye perfiles de seguridad para una gran cantidad de programas Linux: Mozilla Firefox, Chromium, VLC, Transmisión, etc. Para iniciar el sandbox, prefije su comando con "firejail":

$ firejail firefox # a partir de Mozilla Firefox

$ firejail transmission-gtk # starting Transmission BitTorrent 

$ firejail vlc # iniciando el cliente VideoLAN

$ sudo firejail /etc/init.d/nginx start # iniciando el servidor web nginx

Paquetes de software disponibles

Ofrecemos dos sabores Firejail (soporte de línea principal y a largo plazo) y una serie de herramientas de sandboxing adicionales.

• Mainline es nuestra última y mejor versión de sandbox. Incluye nuevas características y desarrollos, perfiles actualizados y soporte para las últimas aplicaciones de escritorio. El público objetivo son los usuarios domésticos de escritorio. ( página de desarrollo )
   
• Soporte a largo plazo (LTS) : cada dos o tres años cortamos una sucursal de git de línea principal, eliminamos funciones que rara vez se utilizan (chroot, superposición, límites, cgroups, etc.), funciones incompletas (private-bin, private-lib, etc.) .), y mucha instrumentación (función de perfil de compilación, rastreo, auditoría, etc.). Las características de seguridad específicas de Sandbox como seccomp, capacidades, lista blanca / lista negra de sistemas de archivos y redes están actualizadas y fortalecidas. LTS recibe actualizaciones de seguridad periódicas, pero nunca se agregan nuevas funciones. El resultado final es una base de software más estable y una superficie de ataque mucho más pequeña. Utilice esta versión para cualquier tipo de implementación empresarial. ( página de desarrollo )
   
• Firetools es la interfaz gráfica de usuario de Firejail. La aplicación está construida utilizando bibliotecas Qt4 / Qt5. Proporciona un iniciador de sandbox integrado con la bandeja del sistema, la edición, la gestión y las estadísticas de sandbox. ( página de desarrollo )
   
• Firetunnel permite que el usuario conecte múltiples cajones de arena Firejail en una red Ethernet virtualizada. Las aplicaciones incluyen redes privadas virtuales (VPN), redes de superposición, aplicaciones de igual a igual. Actualmente el proyecto se encuentra en fase de prueba beta, puede encontrar más información en nuestra página de desarrollo .
   

 

Desarrollo

Firejail es un proyecto comunitario. No estamos afiliados a ninguna empresa y no tenemos ningún objetivo comercial. Nuestro enfoque es el escritorio de Linux. Los usuarios domésticos y los principiantes de Linux son nuestro mercado objetivo. El software es creado por un gran equipo internacional de voluntarios en GitHub . ¡Experto o simplemente usuario habitual de Linux, le invitamos a unirse a nosotros!

Noticias

Junio ​​de 2019 - lanzado Firejail 0.9.56.2-LTS ( Descargar ). Esta es una versión regular de corrección de errores solo para nuestra sucursal LTS. Esta versión también corrige dos problemas de seguridad, detalles aquí .

Mayo de 2019 - lanzado Firejail 0.9.60 ( Descargar ). Esta versión incluye varias características nuevas, muchos nuevos perfiles de aplicaciones, correcciones de errores y fortalecimiento general de SUID. Esta versión también corrige dos problemas de seguridad, detalles aquí .

Febrero de 2019 - lanzado Firejail 0.9.58.2 ( Descargar ). En esta versión estamos solucionando una serie de errores introducidos por 0.9.58

Enero de 2019 - lanzado Firejail 0.9.58 ( Descargar ). Esta es una versión de mantenimiento que incluye correcciones de errores y actualizaciones de perfiles de seguridad para más de 600 aplicaciones Linux.

Enero de 2019 - lanzado Firetools 0.9.58 ( Descargar )

Octubre de 2018 - lanzado Firejail LTS 0.9.56 ( Descargar ). Estamos rebasando nuestra sucursal de soporte a largo plazo de Firejail. La versión anterior de LTS (0.9.38.x) tiene más de dos años. La nueva versión actualiza el código base a 0.9.56. Nos dirigimos a una reducción de aprox. 40% del código al eliminar las funciones que se usan con poca frecuencia (chroot, superposición, rlimits, cgroups), funciones incompletas (private-bin, private-lib) y mucha instrumentación (estructura de perfil, seguimiento, auditoría, etc.). Las características de seguridad específicas de Sandbox como seccomp, capacidades, lista blanca / lista negra de sistemas de archivos y redes están actualizadas y fortalecidas.

Septiembre de 2018 - lanzado Firejail 0.9.56 ( Descargar ). Nuevas características: soporte de interfaz inalámbrica para el comando –net, soporte de tunelización (soporte del dispositivo TAP en el comando –net), soporte del sistema de archivos temporal para el directorio /home/user/.cache (–private-cache), soporte para dispositivos U2F, refuerzo adicional Ejecutable SUID, y mucho más. 

Mayo de 2018 - lanzado Firejail 0.9.54 ( Descargar ). Esta versión incluye una serie de nuevas características y nuevos perfiles. Los problemas de Firefox 60 parecen estar arreglados por ahora. Tratando de mitigar las preocupaciones acerca de que Firejail sea una aplicación SUID, presentamos Firejail Access Database . Básicamente, se trata de una lista de usuarios que pueden usar el sandbox. La lista se encuentra en el /etc/firejail/firejail.usersarchivo. Después de actualizar a la nueva versión, debe ejecutar lo sudo firecfgque no solo aplica los perfiles recién introducidos, sino que también agrega el usuario actual a la base de datos. Notas de la versión .

Marzo de 2018 : lanzamiento de Firetools 0.9.52 ( Descargar ). En esta versión, cambiamos a un esquema de color en escala de grises más agradable, introducimos una serie de pequeñas mejoras y correcciones de errores regulares.

 

Proyectos externos

Firejailed!

• Firewarden es un script de bash que se usa para abrir un programa dentro de una caja de arena privada de Firejail.
• Generador de perfil de Firejail
• Papel ansible para configurar Firejail
• firejail-extras : paquete Arch Linux AUR que contiene perfiles de seguridad adicionales para Firejail
• https://github.com/chiraag-nataraj/firejail-profiles - Esta es una colección de perfiles de seguridad más estrictos mantenida por un miembro del equipo de desarrollo de Firejail.
• Paquete Firejail en SlackBuilds.org
• Firectl es una herramienta para integrar sandboxing de Firejail en el escritorio de Linux. Habilite Firejail para una aplicación y disfrute de un escritorio más seguro. Entrada del repositorio PyPI
• ansible-firejail - Libro de jugadas de Ansible para Firejail.