يصل Bubblewrap 0.6 مع دعم Meson والمزيد

مؤخرا توافر الإصدار الجديد من وضع الحماية التفاف فقاعة 0.6 ، التي تم فيها إجراء بعض التغييرات المهمة مثل تضمين دعم التجميع مع Meson ، والدعم الجزئي لمواصفات REUSE وبعض التغييرات الأخرى.

بالنسبة لأولئك الذين ليسوا على دراية بـ Bubblewrap ، يجب أن تعلم أن هذا ملف تُستخدم الأداة عادةً لتقييد التطبيقات الفردية للمستخدمين الذين لا يتمتعون بامتيازات. من الناحية العملية ، يستخدم مشروع Flatpak Bubblewrap كطبقة لعزل التطبيقات التي تم إطلاقها من الحزم.

للعزل ، يستخدم Linux تقنيات المحاكاة الافتراضية من الحاويات التقليدية القائمة على استخدام مجموعات cgroups ومساحات الأسماء و Seccomp و SELinux. لإجراء عمليات ذات امتياز لتكوين حاوية ، يبدأ Bubblewrap بامتيازات الجذر (ملف قابل للتنفيذ بعلامة suid) ، متبوعًا بإعادة تعيين الامتياز بعد تهيئة الحاوية.

حول Bubblewrap

يتم وضع Bubblewrap باعتباره تطبيقًا محدودًا للسويداء من المجموعة الفرعية لوظائف مساحة اسم المستخدم لاستبعاد جميع معرّفات المستخدم والعمليات من البيئة باستثناء البيئة الحالية ، استخدم الأوضاع CLONE_NEWUSER و CLONE_NEWPID.

لمزيد من الحماية ، تبدأ البرامج التي تعمل في Bubblewrap في الوضع PR_SET_NO_NEW_PRIVS, الذي يحظر الامتيازات الجديدة ، على سبيل المثال ، مع العلم setuid.

يتم العزل على مستوى نظام الملفات عن طريق إنشاء مساحة اسم تحميل جديدة بشكل افتراضي ، حيث يتم إنشاء قسم جذر فارغ باستخدام tmpfs.

إذا لزم الأمر ، يتم إرفاق أقسام FS الخارجية بهذا القسم في «جبل ربط»(على سبيل المثال ، البدء بالخيار«bwrap –ro-bind / usr / usr'، تتم إعادة توجيه قسم / usr من المضيف في وضع القراءة فقط).

قدرات تقتصر الشبكة على الوصول إلى واجهة الاسترجاع مقلوب مع عزل مكدس الشبكة عبر المؤشرات CLONE_NEWNET و CLONE_NEWUTS.

الاختلاف الرئيسي مع مشروع Firejail المماثل ، والذي يستخدم أيضًا قاذفة setuid ، وهو الموجود في Bubblewrap ، تتضمن طبقة الحاوية الحد الأدنى من الميزات الضرورية فقط وجميع الوظائف المتقدمة المطلوبة لتشغيل التطبيقات الرسومية ، والتفاعل مع سطح المكتب ، وتصفية المكالمات إلى Pulseaudio ، يتم إحضارها إلى جانب Flatpak وتشغيلها بعد إعادة تعيين الامتيازات.

المستجدات الرئيسية من Bubblewrap 0.6

في هذا الإصدار الجديد من Bubblewrap 0.6 الذي تم تقديمه ، تم إبراز ذلك إضافة دعم لـ نظام البناء الميزون، حيث يتم دعم التجميع باستخدام ملفات تم الاحتفاظ بـ Autotools لـ الآن ، ولكن المقصود أن هذا ستتم إزالته لصالح استخدام Meson في إصدار مستقبلي.

حداثة أخرى في هذا الإصدار الجديد من Bubblewrap 0.6 هو تنفيذ الخيار "–add-seccomp" لإضافة أكثر من برنامج seccomp ، أضاف أيضًا تحذيرًا بأنه إذا تم تحديد الخيار "--seccomp" مرة أخرى ، فسيتم تطبيق الخيار الأخير فقط.

ويلاحظ أيضًا أن ملف دعم جزئي لمواصفات إعادة الاستخدام، الذي يوحد عملية تحديد معلومات الترخيص وحقوق النشر.

إلى جانب ذلك تم إضافة رؤوس أيضًا معرف ترخيص SPDX للعديد من الملفات من التعليمات البرمجية. إن اتباع إرشادات REUSE يجعل من السهل تحديد الترخيص الذي ينطبق تلقائيًا على أجزاء رمز التطبيق الخاص بك.

من ناحية أخرى ، وأضاف التحقق من قيمة عداد الوسيطة من سطر الأوامر (argc) ونفذ مخرج الطوارئ إذا كان العداد صفرًا. التغيير صيسمح لك بحظر القضايا الأمنية ناتج عن المعالجة غير الصحيحة لوسائط سطر الأوامر التي تم تمريرها ، مثل CVE-2021-4034 في Polkit

من التغييرات الأخرى التي تتميز عن هذا الإصدار الجديد:

  • تمت إعادة تسمية الفرع الرئيسي في مستودع git إلى main
  • إزالة تكامل CI القديم
  • استخدام bash عبر PATH لتوافق أفضل مع أنظمة التشغيل بخلاف أنظمة FHS

أخيرًا إذا كنت كذلك مهتم بمعرفة المزيد عنها حول هذا الإصدار الجديد ، يمكنك التحقق من التفاصيل في الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.