Πρόσφατα η διαθεσιμότητα του η νέα έκδοση του sandboxing περιτύλιγμα φυσαλίδων 0.6, στο οποίο έχουν γίνει ορισμένες σημαντικές αλλαγές, όπως η συμπερίληψη υποστήριξης για μεταγλώττιση με Meson, μερική υποστήριξη για την προδιαγραφή REUSE και μερικές άλλες αλλαγές.
Για όσους δεν γνωρίζουν το Bubblewrap, θα πρέπει να ξέρετε ότι αυτό είναι ένα βοηθητικό πρόγραμμα που χρησιμοποιείται συνήθως για τον περιορισμό μεμονωμένων εφαρμογών σε μη προνομιούχους χρήστες. Στην πράξη, το έργο Flatpak χρησιμοποιεί το Bubblewrap ως στρώμα για την απομόνωση εφαρμογών που ξεκινούν από πακέτα.
Για απομόνωση, το Linux χρησιμοποιεί τεχνολογίες εικονικοποίησης παραδοσιακών εμπορευματοκιβωτίων με βάση τη χρήση cgroups, namespaces, Seccomp και SELinux. Για να εκτελέσετε προνομιακές λειτουργίες για τη διαμόρφωση ενός κοντέινερ, το Bubblewrap ξεκινά με δικαιώματα root (ένα εκτελέσιμο αρχείο με σημαία suid), ακολουθούμενο από επαναφορά δικαιωμάτων μετά την προετοιμασία του κοντέινερ.
Σχετικά με το Bubblewrap
Το Bubblewrap τοποθετείται ως περιορισμένη εφαρμογή suida από το υποσύνολο των λειτουργιών χώρου ονομάτων χρήστη για τον αποκλεισμό όλων των αναγνωριστικών χρήστη και διεργασίας από το περιβάλλον εκτός από το τρέχον, χρησιμοποιήστε τις λειτουργίες CLONE_NEWUSER και CLONE_NEWPID.
Για πρόσθετη προστασία, Τα προγράμματα που εκτελούνται στο Bubblewrap ξεκινούν από τη λειτουργία PR_SET_NO_NEW_PRIVS, που απαγορεύει νέα προνόμια, για παράδειγμα, με τη σημαία του setuid.
Η απομόνωση σε επίπεδο συστήματος αρχείων πραγματοποιείται δημιουργώντας, από προεπιλογή, έναν νέο χώρο ονομάτων προσάρτησης, στον οποίο δημιουργείται ένα κενό διαμέρισμα ρίζας χρησιμοποιώντας tmpfs.
Εάν είναι απαραίτητο, οι εξωτερικές ενότητες FS επισυνάπτονται σε αυτήν την ενότητα στο «μοντάρισμα –δεσμώτης»(Για παράδειγμα, ξεκινώντας με την επιλογή«bwrap –ro-bind / usr / usr', Η ενότητα / usr προωθείται από τον κεντρικό υπολογιστή σε λειτουργία μόνο για ανάγνωση).
Οι δυνατότητες του δικτύου περιορίζονται στην πρόσβαση στη διεπαφή loopback ανεστραμμένη με απομόνωση στοίβας δικτύου μέσω δεικτών CLONE_NEWNET και CLONE_NEWUTS.
Η βασική διαφορά με το παρόμοιο έργο Firejail, που χρησιμοποιεί επίσης το πρόγραμμα εκκίνησης setuid, είναι αυτό στο Bubblewrap, Το στρώμα κοντέινερ περιλαμβάνει μόνο τα ελάχιστα απαραίτητα χαρακτηριστικά Και όλες οι προηγμένες λειτουργίες που απαιτούνται για την εκκίνηση γραφικών εφαρμογών, την αλληλεπίδραση με την επιφάνεια εργασίας και το φιλτράρισμα κλήσεων στο Pulseaudio, μεταφέρονται στο πλάι του Flatpak και εκτελούνται μετά την επαναφορά των δικαιωμάτων.
Οι κύριες καινοτομίες του Bubblewrap 0.6
Σε αυτή τη νέα έκδοση του Bubblewrap 0.6 που παρουσιάζεται, επισημαίνεται ότι προστέθηκε υποστήριξη για το σύστημα κατασκευής Μεσόνιο, όπου υποστηρίζεται η μεταγλώττιση με Το Autotools έχει διατηρηθεί για τώρα, αλλά επιδιώκεται ότι αυτό θα αφαιρεθεί υπέρ της χρήσης του Meson σε μελλοντική κυκλοφορία.
Μια άλλη καινοτομία σε αυτή τη νέα έκδοση του Bubblewrap 0.6 είναι η εφαρμογή της επιλογής “–add-seccomp” για να προσθέσετε περισσότερα από ένα προγράμματα seccomp, πρόσθεσε επίσης μια προειδοποίηση ότι εάν η επιλογή “–seccomp” οριστεί ξανά, θα εφαρμοστεί μόνο η τελευταία επιλογή.
Σημειώνεται επίσης ότι το μερική υποστήριξη για την προδιαγραφή REUSE, το οποίο ενοποιεί τη διαδικασία καθορισμού πληροφοριών άδειας χρήσης και πνευματικών δικαιωμάτων.
Εκτός από αυτό προστέθηκαν επίσης κεφαλίδες SPDX-License-Identifier για πολλά αρχεία του κώδικα. Η τήρηση των οδηγιών ΕΠΑΝΑΛΗΨΗΣ καθιστά εύκολο τον αυτόματο προσδιορισμό της άδειας χρήσης για ποια μέρη του κώδικα της εφαρμογής σας.
Από την άλλη, προστέθηκε όρισμα έλεγχος μετρητή τιμής από τη γραμμή εντολών (argc) και υλοποίησε μια έξοδο κινδύνου εάν ο μετρητής είναι μηδέν. Η αλλαγή σελΣας επιτρέπει να αποκλείσετε θέματα ασφαλείας που προκαλείται από εσφαλμένο χειρισμό ορισμάτων γραμμής εντολών που έχουν περάσει, όπως το CVE-2021-4034 στο Polkit
Από τις άλλες αλλαγές που ξεχωρίζουν από αυτήν τη νέα έκδοση:
- Ο κύριος κλάδος στο αποθετήριο git μετονομάστηκε σε main
- Καταργήστε την παλιά ενσωμάτωση CI
- Χρήση bash μέσω PATH για καλύτερη συμβατότητα με λειτουργικά συστήματα που δεν είναι FHS
τελικά αν είσαι ενδιαφέρεται να μάθει λίγα περισσότερα για αυτό σχετικά με αυτήν τη νέα έκδοση, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.