äskettäin - hiekkalaatikon uusi versio kuplamuore 0.6, johon on tehty joitain tärkeitä muutoksia, kuten Mesonin käännöstuen sisällyttäminen, REUSE-määrittelyn osittainen tuki ja muutama muu muutos.
Niiden, jotka eivät ole tietoisia Bubblewrapista, sinun pitäisi tietää, että tämä on a apuohjelma, jota käytetään tyypillisesti yksittäisten sovellusten rajoittamiseen etuoikeutetuille käyttäjille. Käytännössä Flatpak-projekti käyttää Bubblewrapia kerroksena eristämään paketeista käynnistetyt sovellukset.
Eristykseen Linux käyttää virtualisointitekniikoita perinteisten säilöjen, jotka perustuvat ryhmien, nimitilojen, Seccompin ja SELinuxin käyttöön. Suoritettujen toimien suorittamiseksi säilön määrittämiseksi Bubblewrap aloitetaan pääkäyttöoikeuksilla (suoritettava tiedosto, jolla on suid-lippu), jonka jälkeen etuoikeus palautetaan, kun säilö on alustettu.
Tietoja Bubblewrapista
Bubblewrap on sijoitettu rajoitetuksi suida-toteutukseksi käyttäjän nimiavaruustoimintojen osajoukosta sulkeaksesi kaikki käyttäjä- ja prosessitunnukset ympäristöstä nykyistä lukuun ottamatta, käytä tiloja CLONE_NEWUSER ja CLONE_NEWPID.
Lisäsuojaa varten Bubblewrap-ohjelmassa käynnissä olevat ohjelmat alkavat tilassa PR_SET_NO_NEW_PRIVS, joka kieltää uudet oikeudet, esimerkiksi setuid-lipulla.
Eristys tiedostojärjestelmällä tapahtuu luomalla oletusarvoisesti uusi asennusnimitila, johon tyhjä juuriosio luodaan tmpfs: n avulla.
Tarvittaessa ulkoiset FS-osiot liitetään tähän osaan kohdassa «kiinnitä»(Esimerkiksi alkaen vaihtoehdosta«bwrap –ro-bind / usr / usr', / Usr -osio välitetään isännältä vain luku -tilassa).
kyvyt verkko on rajoitettu pääsyyn takaisinkytkentärajapintaan käännetty verkkopinon eristämisen avulla indikaattoreiden kautta CLONE_NEWNET ja CLONE_NEWUTS.
Tärkein ero vastaavaan Firejail-projektiin, joka käyttää myös setuid-kantorakettia, on Bubblewrapissa, säiliökerros sisältää vain vähimmäisvaatimukset ja kaikki lisätoiminnot, joita tarvitaan graafisten sovellusten käynnistämiseen, vuorovaikutukseen työpöydän kanssa ja puheluiden suodattamiseen Pulseaudioon, tuodaan Flatpakin sivulle ja suoritetaan, kun käyttöoikeudet on nollattu.
Bubblewrap 0.6:n tärkeimmät uutuudet
Tässä esitellyssä Bubblewrap 0.6:n uudessa versiossa korostetaan, että lisätty tuki rakennusjärjestelmä meson, jolloin tuetaan kääntämistä Autotools on säilytetty nyt, mutta on tarkoitus, että tämä se poistetaan Mesonin käytön puolesta tulevassa julkaisussa.
Toinen uutuus tässä uudessa Bubblewrap 0.6 -versiossa on vaihtoehdon käyttöönotto “–add-seccomp” lisätäksesi useamman kuin yhden seccomp-ohjelman, lisäsi myös varoituksen, että jos "--seccomp"-vaihtoehto määritetään uudelleen, vain viimeinen vaihtoehto otetaan käyttöön.
On myös huomattava, että osittainen tuki REUSE-spesifikaatiolle, joka yhdistää lisenssi- ja tekijänoikeustietojen määrittelyprosessin.
Tämän lisäksi lisättiin myös otsikot SPDX-lisenssitunniste monille tiedostoille koodista. UUDELLEENKÄYTTÖ-ohjeita noudattamalla on helppo määrittää automaattisesti, mikä lisenssi koskee mitäkin sovelluskoodisi osia.
Toisaalta lisätty argumenttilaskurin arvon tarkistus komentoriviltä (argc) ja toteutti hätäuloskäynnin, jos laskuri on nolla. Muutos sVoit estää tietoturvaongelmat johtuu ohitettujen komentoriviargumenttien, kuten CVE-2021-4034, virheellisestä käsittelystä Polkitissa
Muista muutoksista jotka erottuvat uudesta versiosta:
- Git-tietovaraston päähaara on nimetty uudelleen päähaaroksi
- Poista vanha CI-integrointi
- Bashin käyttäminen PATH:n kautta parantaaksesi yhteensopivuutta muiden kuin FHS-käyttöjärjestelmien kanssa
vihdoin jos olet kiinnostaisi tietää siitä vähän enemmän tästä uudesta versiosta voit tarkistaa yksityiskohdat Seuraavassa linkissä.