fa poc es va donar a conèixer la disponibilitat de la nova versió del sandboxing Bubblewrap 0.6, en la qual s'han realitzat alguns canvis importants com la inclusió del suport per a la compilació amb Meson, el suport parcial per a l'especificació REUSE i altres canvis més.
Per als que desconeixen de Bubblewrap, han de saber que aquesta és una utilitat que generalment s'usa per restringir aplicacions individuals a usuaris sense privilegis. A la pràctica, el projecte Flatpak utilitza Bubblewrap com una capa per aïllar les aplicacions iniciades des dels paquets.
Per l'aïllament, Linux utilitza tecnologies de virtualització de contenidors tradicionals basades en l'ús de cgroups, namespaces, Seccomp i SELinux. Per realitzar operacions privilegiades per configurar un contenidor, Bubblewrap s'inicia amb privilegis de root (un arxiu executable amb un indicador de suid), seguit de restabliment de privilegis després que s'inicialitza el contenidor.
sobre Bubblewrap
Bubblewrap es posiciona com una implementació Suida limitada de l'subconjunt de les funcions d'espais de noms d'usuari per excloure tots els identificadors d'usuaris i processos de l'entorn, excepte l'actual, fan servir les maneres CLONE_NEWUSER i CLONE_NEWPID.
Per a la protecció addicional, els programes que s'executen en Bubblewrap s'inicien en la manera PR_SET_NO_NEW_PRIVS, que prohibeix nous privilegis, per exemple, amb l'indicador setuid.
L'aïllament en el nivell de sistema d'arxius es realitza creant, per defecte, un nou espai de noms de muntatge, en el qual es crea un partició arrel buida utilitzant tmpfs.
Si cal, les seccions de l'FS extern s'adjunten a aquesta secció en la manera «mount -bind»(Per exemple, a l'començar amb l'opció«bwrap -RO-bind / usr / usr«, La secció / usr es reenvia des del sistema principal en mode de només lectura).
Les capacitats de xarxa es limiten a l'accés a la interfície de bucle invertit amb aïllament de la pila de xarxa a través dels indicadors CLONE_NEWNET i CLONE_NEWUTS.
La diferència clau amb el projecte similar d'Firejail, que també fa servir l'iniciador setuid, és que en Bubblewrap, la capa de contenidor inclou només les característiques mínimes necessàries i totes les funcions avançades necessàries per iniciar aplicacions gràfiques, interactuar amb l'escriptori i filtrar trucades a PulseAudio, es duen a el costat de Flatpak i s'executen després de restablir els privilegis.
Principals novetats de Bubblewrap 0.6
En aquesta nova versió que es presenta de Bubblewrap 0.6 es destaca que es va afegir suport per el sistema de compilació Mesó, amb la qual cosa el suport per compilar amb Autotools s'ha conservat per ara, però es pretén que aquest s'eliminarà a favor de l'ús de Meson en una versió futura.
Una altra de les novetats que presenta aquesta nova versió de Bubblewrap 0.6 és la implementació de l'opció add-seccomp per afegir més d'un programa seccomp, a més que s'ha afegit una advertència que si s'especifica novament l'opció “–seccomp”, només s'aplicarà l'última opció.
També es destaca que es va agregar el suport parcial per a l'especificació REUSE, que unifica el procés d'especificació d'informació de llicència i de copyright.
A més que també es van afegir encapçalats SPDX-License-Identifier a molts fitxers de codi. Seguir les pautes de REUTILITZACIÓ facilita la determinació automàtica de quina llicència s'aplica a quines parts del codi de l'aplicació.
D'altra banda, se'n va afegir una verificació del valor del comptador d'arguments de la línia de comandes (argc) i es va implementar una sortida d'emergència si el comptador és zero. El canvi permit bloquejar els problemes de seguretat causats pel maneig incorrecte dels arguments de la línia d'ordres passats, com CVE-2021-4034 a Polkit
Dels altres canvis que es destaquen d'aquesta nova versió:
- La branca mestra al repositori de git s'ha reanomenat com a main
- Eliminar l'antiga integració de CI
- Ús de bash via PATH per a una millor compatibilitat amb sistemes operatius que no siguin FHS
Finalment si estàs interessat a poder conèixer una mica més sobre això sobre aquesta nova versió, pots consultar els detalls en el següent enllaç.