Accueil > La Newsletter de RESINFO > Newsletter 14 > Outils
Outils
Firejail : Le couteau suisse du confinement sous Linux
"L’isolation des processus sous Linux est un sujet bien connu des administrateurs systèmes qui peut porter sur un grand nombre d’éléments distincts (e.g. système de fichiers, réseau, espace mémoire, espace de PID). Du simple changement de racine (i.e. chroot) à la virtualisation lourde (e.g. QEMU, VirtualBox), en passant par les conteneurs (e.g. LXC, runC) ou bien encore les systèmes de contrôle d’accès obligatoire (e.g. SELinux, AppArmor), un grand nombre de techniques existe pour répondre à ce besoin de confinement (sans mauvais jeu de mots). Toute technique d’isolation a malheureusement un coût, que ce soit en espace de stockage, en perte de performance suite aux opérations induites par la surcouche du système d’isolation mais aussi en complexité de configuration et d’intégration.
Le noyau Linux propose un ensemble de fonctionnalités allant dans le sens d’une isolation sur mesure tout en minimisant le coût de surcharge (i.e., Namespaces, Control Groups, Capabilities et Seccomp-bpf). Firejail est un outil libre offrant une interface simplifiée et donnant accès à la manipulation de ces fonctionnalités.
L’objectif de cette proposition est de donner un aperçu ainsi que des cas d’usages d’un tel outil dans le cadre d’un système d’information mais également dans un contexte d’enseignement. Cette proposition utilise Firejail comme moyen d’aborder la problématique de l’isolation des processus sous Linux dans sa globalité".
Auteur : Vincent Autefage