наскоро наличността на новата версия на пясъчника балонна обвивка 0.6, в който са направени някои важни промени, като включването на поддръжка за компилиране с Meson, частична поддръжка на спецификацията REUSE и няколко други промени.
За тези, които не знаят за Bubblewrap, трябва да знаете, че това е a помощна програма, която обикновено се използва за ограничаване на отделни приложения до непривилегировани потребители. На практика проектът Flatpak използва Bubblewrap като слой за изолиране на приложения, стартирани от пакети.
За изолация Linux използва технологии за виртуализация на традиционни контейнери, базирани на използването на cgroups, пространства от имена, Seccomp и SELinux. За да изпълнява привилегировани операции за конфигуриране на контейнер, Bubblewrap се стартира с права на root (изпълним файл с флаг suid), последвано от нулиране на привилегията след инициализиране на контейнера.
Относно Bubblewrap
Bubblewrap се позиционира като ограничена suida реализация от подмножеството на функциите на потребителски пространства за имена, за да изключите всички потребителски и обработващи идентификатори от околната среда с изключение на текущата, използвайте режимите CLONE_NEWUSER и CLONE_NEWPID.
За допълнителна защита, програми, работещи в Bubblewrap, стартират в режим PR_SET_NO_NEW_PRIVS, което забранява нови привилегии, например с флага set.
Изолирането на ниво файлова система се извършва чрез създаване на ново пространство за имена на монтиране по подразбиране, в което се създава празен корен дял с помощта на tmpfs.
Ако е необходимо, външните FS секции са прикрепени към този раздел в «монтиране – свързване»(Например, като се започне с опцията«bwrap –ro-bind / usr / usr', Разделът / usr се препраща от хоста в режим само за четене).
Възможностите на мрежата са ограничени до достъп до интерфейса за обратна връзка обърната с изолиране на мрежовия стек чрез индикатори CLONE_NEWNET и CLONE_NEWUTS.
Ключовата разлика с подобния проект Firejail, което също използва setuid стартера, е това в Bubblewrap, контейнерният слой включва само минимално необходимите функции и всички усъвършенствани функции, необходими за стартиране на графични приложения, взаимодействие с работния плот и филтриране на повиквания към Pulseaudio, се извеждат отстрани на Flatpak и се изпълняват след нулиране на привилегиите.
Основни новости на Bubblewrap 0.6
В тази нова версия на Bubblewrap 0.6, която е представена, е подчертано, че добавена поддръжка за системата за изграждане месон, при което поддръжка за компилиране с Autotools е запазен за сега, но е предназначено това той ще бъде премахнат в полза на използването на Meson в бъдеща версия.
Друга новост в тази нова версия на Bubblewrap 0.6 е внедряването на опцията „–add-seccomp“, за да добавите повече от една програма seccomp, също добави предупреждение, че ако опцията "--seccomp" бъде посочена отново, ще бъде приложена само последната опция.
Отбелязва се също, че частична поддръжка за спецификацията REUSE, който обединява процеса на посочване на информация за лиценз и авторски права.
Освен това бяха добавени и заглавки SPDX-License-Identifier за много файлове на код. Следването на указанията за повторно използване улеснява автоматичното определяне кой лиценз се прилага за кои части от кода на вашето приложение.
От друга страна, доп проверка на стойността на брояча на аргумента от командния ред (argc) и имплементира авариен изход, ако броячът е нула. Промяната пПозволява ви да блокирате проблеми със сигурността причинено от неправилна обработка на предадени аргументи на командния ред, като CVE-2021-4034 в Polkit
От останалите промени които се открояват от тази нова версия:
- Главният клон в хранилището на git е преименуван на main
- Премахнете старата CI интеграция
- Използване на bash чрез PATH за по-добра съвместимост с операционни системи, различни от FHS
най-накрая, ако сте се интересувам да научим малко повече за това за тази нова версия можете да проверите подробностите В следващия линк.