Bubblewrap 0.6 kommer med understøttelse af Meson og mere

nylig tilgængeligheden af den nye version af sandboxing bobleplast 0.6, hvor der er foretaget nogle vigtige ændringer, såsom inklusion af støtte til kompilering med Meson, delvis understøttelse af REUSE-specifikationen og et par andre ændringer.

For dem, der ikke kender til Bubblewrap, skal du vide, at dette er en værktøj, der typisk bruges til at begrænse individuelle applikationer til ikke-privilegerede brugere. I praksis bruger Flatpak-projektet Bubblewrap som et lag til at isolere applikationer lanceret fra pakker.

Til isolation bruger Linux virtualiseringsteknologier af traditionelle containere baseret på brugen af ​​cgroups, namespaces, Seccomp og SELinux. For at udføre privilegerede operationer for at konfigurere en container startes Bubblewrap med root-rettigheder (en eksekverbar fil med et suid-flag) efterfulgt af en nulstilling af privilegium, efter at containeren er initialiseret.

Om Bubblewrap

Bubblewrap er placeret som en begrænset suida-implementering fra delsættet af brugernavne-funktionerne for at ekskludere alle bruger- og proces-id'er fra miljøet undtagen den aktuelle, skal du bruge tilstande CLONE_NEWUSER og CLONE_NEWPID.

For yderligere beskyttelse, programmer, der kører i Bubblewrap, starter i tilstanden PR_SET_NO_NEW_PRIVS, der forbyder nye privilegier, for eksempel med setuid-flag.

Isolering på filsystemniveau sker ved at oprette et nyt monteringsnavne som standard, hvor en tom rodpartition oprettes ved hjælp af tmpfs.

Om nødvendigt er de eksterne FS-sektioner knyttet til dette afsnit i «monter –binde»(F.eks. Startende med indstillingen«bwrap –ro-bind / usr / usr', Afsnittet / usr videresendes fra værten i skrivebeskyttet tilstand).

Evnen til netværk er begrænset til adgang til loopback-grænsefladen inverteret med netværksstakisolering via indikatorer CLONE_NEWNET og CLONE_NEWUTS.

Nøgleforskellen med det lignende Firejail-projekt, som også bruger setuid launcher, er det i Bubblewrap, beholderlaget indeholder kun de mindst nødvendige funktioner og alle de avancerede funktioner, der kræves for at starte grafiske applikationer, interagere med skrivebordet og filtrere opkald til Pulseaudio, bringes til siden af ​​Flatpak og køres efter at rettigheder er nulstillet.

De vigtigste nyheder i Bubblewrap 0.6

I denne nye version af Bubblewrap 0.6, der præsenteres, fremhæves det tilføjet støtte til byggesystemet Meson, hvorved støtte til kompilering med Autoværktøjer er bevaret til nu, men det er meningen, at dette det vil blive fjernet til fordel for brug af Meson i en fremtidig udgivelse.

En anden nyhed i denne nye version af Bubblewrap 0.6 er implementeringen af ​​muligheden "–add-seccomp" for at tilføje mere end ét seccomp-program, også tilføjet en advarsel om, at hvis "–seccomp"-indstillingen er angivet igen, vil kun den sidste mulighed blive anvendt.

Det bemærkes også, at delvis understøttelse af REUSE-specifikationen, som forener processen med at specificere licens- og copyrightoplysninger.

Udover det blev der også tilføjet overskrifter SPDX-License-Identifier til mange filer af kode. At følge REUSE-retningslinjerne gør det nemt automatisk at bestemme, hvilken licens der gælder for hvilke dele af din ansøgningskode.

På den anden side tilføjet kontrol af argumenttællerværdi fra kommandolinjen (argc) og implementeret en nødudgang, hvis tælleren er nul. Ændringen sGiver dig mulighed for at blokere sikkerhedsproblemer forårsaget af forkert håndtering af beståede kommandolinjeargumenter, såsom CVE-2021-4034 i Polkit

Af de andre ændringer der skiller sig ud fra denne nye version:

  • Mastergrenen i git-lageret er blevet omdøbt til main
  • Fjern gammel CI-integration
  • Brug af bash via PATH for bedre kompatibilitet med ikke-FHS-operativsystemer

endelig hvis du er det interesseret i at vide lidt mere om det om denne nye version kan du kontrollere detaljerne I det følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.