Firejail - система ізольованого виконання додатків
Метою Firejail є мінімізація ризику компрометації основної системи при запуску що не заслуговують довіри або потенційно уразливих програм. Після запуску програма і всі її дочірні процеси використовують окремі уявлення ресурсів ядра, таких як мережевий стек, таблиця процесів і точки монтування.
Firejail гранично простий в конфігурації і не вимагає підготовки системного образу - склад контейнера формується на льоту на основі вмісту поточної ФС і видаляється після завершення роботи програми. Надаються гнучкі засоби завдання правил доступу до файлової системи, можна визначати до яких файлами і тек дозволений або заборонений доступ, підключати для даних тимчасові ФС (tmpfs), обмежувати доступу до файлів або тек тільки на читання, поєднувати директорії через bind-mount і overlayfs.
Профілі ізоляції системних викликів підготовлені для великого числа популярних додатків, в тому числі для Firefox, Chromium, VLC і Transmission.
