Bubblewrap 0.6 arrive avec le support de Meson et plus

Récemment la disponibilité de la nouvelle version du bac à sable film à bulles 0.6, dans lequel des changements importants ont été apportés tels que l'inclusion du support de la compilation avec Meson, le support partiel de la spécification REUSE et quelques autres changements.

Pour ceux qui ne connaissent pas le Bubblewrap, sachez qu'il s'agit d'un utilitaire généralement utilisé pour restreindre les applications individuelles aux utilisateurs non privilégiés. En pratique, le projet Flatpak utilise Bubblewrap comme couche pour isoler les applications lancées à partir de packages.

Pour l'isolation, Linux utilise des technologies de virtualisation de conteneurs traditionnels basés sur l'utilisation de groupes de contrôle, d'espaces de noms, Seccomp et SELinux. Pour effectuer des opérations privilégiées pour configurer un conteneur, Bubblewrap est démarré avec les privilèges root (un fichier exécutable avec un indicateur suid), suivi d'une réinitialisation des privilèges après l'initialisation du conteneur.

À propos de Bubblewrap

Bubblewrap se positionne comme une implémentation suida limitée du sous-ensemble des fonctions d'espace de noms utilisateur pour exclure tous les identifiants d'utilisateur et de processus de l'environnement à l'exception de celui en cours, utilisez les modes CLONE_NEWUSER et CLONE_NEWPID.

Pour une protection supplémentaire, les programmes exécutés dans Bubblewrap démarrent en mode PR_SET_NO_NEW_PRIVS, qui interdit de nouveaux privilèges, par exemple, avec l'indicateur setuid.

L'isolement au niveau du système de fichiers se fait en créant, par défaut, un nouvel espace de noms de montage, dans lequel une partition racine vide est créée à l'aide de tmpfs.

Si nécessaire, les sections FS externes sont jointes à cette section dans le «monter – lier»(Par exemple, en commençant par l'option«bwrap –ro-bind / usr / usr', La section / usr est transmise depuis l'hôte en mode lecture seule).

Les capacités de réseau sont limités à l'accès à l'interface de bouclage inversé avec isolation de la pile réseau via des indicateurs CLONE_NEWNET et CLONE_NEWUTS.

La principale différence avec le projet Firejail similaire, qui utilise également le lanceur setuid, est celui de Bubblewrap, la couche conteneur comprend uniquement les fonctionnalités minimales nécessaires et toutes les fonctions avancées requises pour lancer des applications graphiques, interagir avec le bureau et filtrer les appels à Pulseaudio, sont amenées du côté de Flatpak et exécutées après la réinitialisation des privilèges.

Principales nouveautés de Bubblewrap 0.6

Dans cette nouvelle version de Bubblewrap 0.6 qui est présentée, il est mis en évidence que prise en charge supplémentaire pour le système de construction Méson, où la prise en charge de la compilation avec Autotools a été conservé pendant maintenant, mais il est prévu que cela il sera supprimé au profit de l'utilisation de Meson dans une future version.

Une autre nouveauté dans cette nouvelle version de Bubblewrap 0.6 est la mise en place de l'option "-add-seccomp" pour ajouter plus d'un programme seccomp, a également ajouté un avertissement indiquant que si l'option "-seccomp" est à nouveau spécifiée, seule la dernière option sera appliquée.

On note également que le prise en charge partielle de la spécification REUSE, qui unifie le processus de spécification des informations de licence et de copyright.

En plus de cela, des en-têtes ont également été ajoutés SPDX-License-Identifier à de nombreux fichiers de code. Le respect des directives REUSE permet de déterminer facilement quelle licence s'applique à quelles parties de votre code d'application.

D'autre part, ajouté vérification de la valeur du compteur d'arguments depuis la ligne de commande (argc) et mis en place une issue de secours si le compteur est à zéro. Le changement pPermet de bloquer les problèmes de sécurité causé par une mauvaise gestion des arguments de ligne de commande passés, tels que CVE-2021-4034 dans Polkit

Des autres changements qui se démarquent de cette nouvelle version:

  • La branche master du dépôt git a été renommée main
  • Supprimer l'ancienne intégration CI
  • Utilisation de bash via PATH pour une meilleure compatibilité avec les systèmes d'exploitation non-FHS

enfin si tu es curieux d'en savoir un peu plus à propos de cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.