Vor kurzem die Verfügbarkeit von die neue Version von Sandboxing Luftpolsterfolie 0.6, in der einige wichtige Änderungen vorgenommen wurden, wie z. B. die Aufnahme von Unterstützung für die Kompilierung mit Meson, teilweise Unterstützung für die REUSE-Spezifikation und einige andere Änderungen.
Für diejenigen, die Bubblewrap nicht kennen, sollten Sie wissen, dass dies eine ist Dienstprogramm, das normalerweise verwendet wird, um einzelne Anwendungen auf nicht privilegierte Benutzer zu beschränken. In der Praxis verwendet das Flatpak-Projekt Bubblewrap als Schicht, um Anwendungen zu isolieren, die von Paketen gestartet werden.
Zur Isolation verwendet Linux Virtualisierungstechnologien von traditionellen Containern basierend auf der Verwendung von cgroups, Namespaces, Seccomp und SELinux. Um privilegierte Vorgänge zum Konfigurieren eines Containers auszuführen, wird Bubblewrap mit Root-Berechtigungen (einer ausführbaren Datei mit einem suid-Flag) gestartet, gefolgt von einem Zurücksetzen der Berechtigungen nach der Initialisierung des Containers.
Über Bubblewrap
Bubblewrap ist als begrenzte Suida-Implementierung positioniert Verwenden Sie aus der Teilmenge der Benutzer-Namespaces-Funktionen die Modi, um alle Benutzer- und Prozess-IDs mit Ausnahme der aktuellen aus der Umgebung auszuschließen CLONE_NEWUSER und CLONE_NEWPID.
Für zusätzlichen Schutz Programme, die in Bubblewrap ausgeführt werden, werden im Modus gestartet PR_SET_NO_NEW_PRIVS, das verbietet neue Privilegien, Zum Beispiel mit dem Flag setuid.
Die Isolierung auf Dateisystemebene erfolgt durch Erstellen eines neuen Mount-Namespace, in dem mit tmpfs eine leere Root-Partition erstellt wird.
Bei Bedarf werden die externen FS-Abschnitte an diesen Abschnitt im «montieren –binden»(Zum Beispiel beginnend mit der Option«bwrap –ro-bind / usr / usr', Der Abschnitt / usr wird im schreibgeschützten Modus vom Host weitergeleitet.
Die Fähigkeiten von Netzwerk sind auf den Zugriff auf die Loopback-Schnittstelle beschränkt invertiert mit Netzwerkstapelisolation über Indikatoren CLONE_NEWNET und CLONE_NEWUTS.
Der Hauptunterschied zum ähnlichen Firejail-Projekt: das auch den setuid launcher verwendet, ist das in Bubblewrap, Die Containerebene enthält nur die minimal erforderlichen Funktionen Alle erweiterten Funktionen, die zum Starten grafischer Anwendungen, zur Interaktion mit dem Desktop und zum Filtern von Aufrufen an Pulseaudio erforderlich sind, werden auf die Seite von Flatpak gestellt und ausgeführt, nachdem die Berechtigungen zurückgesetzt wurden.
Hauptneuheiten von Bubblewrap 0.6
In dieser neuen Version von Bubblewrap 0.6, die vorgestellt wird, wird dies hervorgehoben zusätzliche Unterstützung für das Bausystem Meson, wobei Unterstützung für das Kompilieren mit Autotools wurde für beibehalten jetzt, aber es ist beabsichtigt, dass dies es wird zugunsten der Verwendung von Meson in einer zukünftigen Version entfernt.
Eine weitere Neuerung in dieser neuen Version von Bubblewrap 0.6 ist die Implementierung der Option „–add-seccomp“, um mehr als ein seccomp-Programm hinzuzufügen, Außerdem wurde eine Warnung hinzugefügt, dass bei erneuter Angabe der Option „–seccomp“ nur die letzte Option angewendet wird.
Es wird auch darauf hingewiesen, dass die teilweise Unterstützung für die REUSE-Spezifikation, das den Prozess der Angabe von Lizenz- und Urheberrechtsinformationen vereinheitlicht.
Außerdem wurden auch Header hinzugefügt SPDX-Lizenz-Identifier für viele Dateien von Code. Das Befolgen der WIEDERVERWENDUNGS-Richtlinien macht es einfach, automatisch zu bestimmen, welche Lizenz für welche Teile Ihres Anwendungscodes gilt.
Andererseits hinzugefügt Überprüfung des Argumentzählerwerts von der Befehlszeile (argc) und implementiert einen Notausgang, wenn der Zähler Null ist. Die Änderung pErmöglicht das Blockieren von Sicherheitsproblemen verursacht durch falsche Behandlung übergebener Befehlszeilenargumente, wie z. B. CVE-2021-4034 in Polkit
Von den anderen Änderungen das hebt sich von dieser neuen Version ab:
- Der Master-Branch im Git-Repository wurde in main umbenannt
- Entfernen Sie die alte CI-Integration
- Verwenden von Bash über PATH für eine bessere Kompatibilität mit Nicht-FHS-Betriebssystemen
schließlich, wenn Sie sind daran interessiert, etwas mehr darüber zu erfahren Über diese neue Version können Sie die Details überprüfen im folgenden Link.