Nedavno dostupnost nova verzija sandboxinga folija sa mjehurićima 0.6, u kojem su napravljene neke važne promjene kao što je uključivanje podrške za kompilaciju sa Mesonom, djelomična podrška za REUSE specifikaciju i nekoliko drugih promjena.
Za one koji nisu svjesni Bubblewrap-a, trebali biste znati da je ovo a uslužni program koji se obično koristi za ograničavanje pojedinačnih aplikacija na neprivilegovane korisnike. U praksi, Flatpak projekat koristi Bubblewrap kao sloj za izolaciju aplikacija pokrenutih iz paketa.
Za izolaciju, Linux koristi tehnologije virtualizacije tradicionalnih kontejnera zasnovanih na upotrebi cgroups, prostora prostora, Seccomp i SELinux. Za izvođenje privilegiranih operacija za konfiguriranje spremnika, Bubblewrap se pokreće s root privilegijama (izvršnom datotekom sa suid zastavicom), nakon čega slijedi poništavanje privilegija nakon inicijalizacije spremnika.
O Bubblewrapu
Bubblewrap je pozicioniran kao ograničena implementacija suida iz podskupa funkcija korisničkog prostora imena za izuzeće svih korisničkih i procesnih ID-ova iz okoline, osim trenutnog, koristite načine CLONE_NEWUSER i CLONE_NEWPID.
Za dodatnu zaštitu, programi koji se izvode u Bubblewrapu pokreću se u načinu PR_SET_NO_NEW_PRIVS, koja zabranjuje nove privilegije, na primjer, sa zastavicom setuid.
Izolacija na nivou sistema datoteka vrši se stvaranjem, prema zadanim postavkama, novog prostora imena montiranja, u kojem se pomoću tmpfs kreira prazna korijenska particija.
Ako je potrebno, vanjski FS odjeljci su u prilogu ovog odjeljka u «mount-bind»(Na primjer, počevši od opcije«bwrap –ro-bind / usr / usr', Odjeljak / usr se prosljeđuje s hosta u načinu samo za čitanje).
Mogućnosti od mreže su ograničene na pristup sučelju povratne petlje obrnuto izolacijom mrežnog steka putem indikatora CLONE_NEWNET i CLONE_NEWUTS.
Ključna razlika sa sličnim projektom Firejail, koji takođe koristi setuid pokretač, je da je u Bubblewrapu, sloj spremnika uključuje samo minimalno potrebne karakteristike i sve napredne funkcije potrebne za pokretanje grafičkih aplikacija, interakciju sa radnom površinom i filtriranje poziva Pulseaudio, dovode se na stranu Flatpak-a i izvode nakon resetiranja privilegija.
Glavne novine Bubblewrap 0.6
U ovoj novoj verziji Bubblewrap 0.6 koja je predstavljena, to je istaknuto dodata podrška za sistem izgradnje Meson, pri čemu podrška za kompajliranje sa Auto alati su sačuvani za sada, ali je namjera da ovo bit će uklonjen u korist korištenja Mesona u budućem izdanju.
Još jedna novost u ovoj novoj verziji Bubblewrap 0.6 je implementacija opcije “–add-seccomp” za dodavanje više od jednog seccomp programa, također je dodao upozorenje da će se, ako se opcija “–seccomp” ponovo specificira, primijeniti samo posljednja opcija.
Napominje se i da je djelomična podrška za REUSE specifikaciju, koji objedinjuje proces specificiranja informacija o licenci i autorskim pravima.
Osim toga dodana su i zaglavlja SPDX-License-Identifier za mnoge datoteke koda. Praćenje smjernica REUSE olakšava automatsko određivanje koja se licenca primjenjuje na koje dijelove vašeg koda aplikacije.
S druge strane, dodao provjera vrijednosti brojača argumenta iz komandne linije (argc) i implementirao izlaz u nuždi ako je brojač nula. Promjena strOmogućava vam da blokirate sigurnosne probleme uzrokovano netačnim rukovanjem proslijeđenim argumentima komandne linije, kao što je CVE-2021-4034 u Polkitu
Od ostalih promjena koji se ističu iz ove nove verzije:
- Glavna grana u git spremištu je preimenovana u main
- Uklonite staru CI integraciju
- Korištenje bash preko PATH za bolju kompatibilnost sa operativnim sistemima koji nisu FHS
konačno ako jesi zainteresovan da saznam nešto više o tome o ovoj novoj verziji možete provjeriti detalje Na sledećem linku.