Firejail 0.9.74 版本发布：安全沙箱工具的重大更新

Firejail 是一个轻量级的 Linux 应用程序沙箱工具，它通过 Linux 命名空间、seccomp-bpf 和 Linux 功能等技术为应用程序提供隔离环境。最新发布的 0.9.74 版本带来了多项安全增强、功能改进和错误修复，进一步提升了系统的安全性和可用性。

核心安全改进

本次更新在安全性方面做了多项重要改进：

1. sscanf 返回值检查修复：修复了 CodeQL 扫描发现的安全问题，增强了输入验证的安全性。

2. private-etc 功能重构：改进了对 /etc/resolv.conf 文件的处理，并新增了 private-etc 组功能，使系统配置文件的管理更加灵活和安全。

3. Landlock 支持：新增了对 Linux Landlock 安全模块的支持，这是一种新型的访问控制机制，可以进一步限制应用程序的文件系统访问权限。

4. seccomp 过滤器增强：为 --restrict-namespaces 选项添加了 seccomp 过滤器，提供了更严格的命名空间限制。

5. TPM 设备控制：新增了 notpm 命令，并默认在 private-dev 中保留 TPM 设备，除非明确禁用。

重要功能更新

0.9.74 版本引入了多项实用功能：

1. 随机主机名分配：现在每个沙箱会自动分配一个随机主机名，除非用户通过 --hostname 命令明确指定。

2. IPv6 网络追踪支持：--net.print 选项现在支持 IPv6 网络。

3. QUIC/HTTP3 支持：--nettrace 功能现在可以处理 QUIC (HTTP/3) 流量。

4. 统计功能：为 --nettrace 添加了统计支持，便于网络流量分析。

5. doas 支持：firecfg 和 jailcheck 工具现在支持 doas 命令。

6. firecfg 增强：新增了 firecfg.d 目录支持和 ignore 命令，提供了更灵活的配置方式。

7. 宏扩展增强：在多个命令中扩展了简单宏的支持，包括 --chroot、--netfilter、--netfilter6 和 --trace 等。

8. 进程事件监控：firemon 工具新增了对 comm、coredump 和 prctl 进程事件的支持。

架构与构建改进

本次更新对构建系统和架构支持做了多项优化：

1. aarch64 系统调用支持：新增了对 ARM64 架构的系统调用支持。

2. 构建选项调整：

   • 新增了 --disable-sandbox-check 配置标志
   • 将 private-lib 改为配置时选项，默认禁用
   • 移除了 -mretpoline 和 NO_EXTRA_CFLAGS

3. 构建系统现代化：

   • 自动生成头文件依赖
   • 使用完整路径进行编译/链接
   • 标准化安装命令
   • 改进 makefile 结构和目标

4. 开发者工具增强：

   • 自动生成语法文件
   • 改进代码检查工具
   • 标准化开发环境配置

用户体验改进

0.9.74 版本在多方面提升了用户体验：

1. 命令行改进：

   • 新增 "keep-shell-rc" 命令和选项
   • 改进参数过长时的错误信息
   • 转义命令行中的控制字符

2. 错误处理增强：

   • 改进 errExit 错误消息
   • 在启动时打印版本信息
   • 改进 --version/--help 输出

3. 设备管理：

   • 默认保留 /dev/kfd 设备（除非使用 no3d）
   • 保留 /sys/module/nvidia*（使用专有驱动且未禁用 3D 时）
   • 默认保留 plugdev 组（除非使用 nou2f）

4. 文档完善：

   • 更新了手册页中的命令排序和格式
   • 改进了黑名单/白名单示例
   • 添加了构建问题模板

移除和废弃功能

1. 移除了 firemon 的 --interface 选项（功能已由 firejail --net.print= 替代）
2. 移除了对 LTS 和 firetunnel 的支持
3. 移除了已弃用的 'shell' 选项引用

新增应用程序支持

0.9.74 版本新增了大量应用程序配置文件，包括：

1. 开发工具：postman、ledger-live-desktop、electron-cash、gh (GitHub CLI) 等
2. 多媒体应用：tidal-hifi、rawtherapee、nsxiv 等
3. 网络工具：sniffnet、termshark、aria2p/aria2rpc 等
4. 办公与阅读：standard-notes、koreader、foliate 等
5. 游戏与娱乐：singularity、prismlauncher 等
6. 系统工具：virt-manager、gnome-boxes、remmina-file-wrapper 等

性能与稳定性改进

1. 修复了 firejail --ls 报告大文件大小错误的问题
2. 解决了 /run/firejail 目录的启动竞争条件
3. 修复了多种资源泄漏问题
4. 改进了 profstats 中的 restrict-namespaces 最大计数
5. 修复了可能的 fs_home.c 内存泄漏

总结

Firejail 0.9.74 是一个重要的版本更新，在安全性、功能性和用户体验方面都有显著提升。特别是新增的 Landlock 支持和 private-etc 重构，为系统安全提供了更强大的保障。同时，大量新增的应用程序配置文件使得更多程序能够安全地在沙箱中运行。对于注重系统安全的 Linux 用户来说，升级到这个版本将获得更好的保护和使用体验。