Bubblewrap, yon zouti pou kreye aplikasyon nan anviwònman izole

Bubblewrap se yon zouti kisa ki mache yo òganize sandboks travay sou Linux epi kouri nan nivo aplikasyon itilizatè ki pa privilejye yo. Nan pratik, Pwojè Flatpak itilize Bubblewrap kòm yon kouch entèmedyè pou izole aplikasyon ki lanse nan pakè lojisyèl yo.

Pou izolasyon, Linux itilize teknoloji Virtualization nan resipyan tradisyonèl ki baze sou itilize nan cgroups, namespaces, Seccomp ak SELinux. Pou fè operasyon privilejye yo konfigirasyon yon veso, Bubblewrap te kòmanse ak privilèj rasin (yon dosye ègzèkutabl ak yon drapo suid), ki te swiv pa yon Reyajiste privilèj apre veso a inisyalize.

Pa gen okenn nesesite pou pèmèt itilizatè namespaces sou sistèm lan, ki pèmèt ou sèvi ak pwòp seri id yo nan resipyan, tankou pa default li pa travay sou distribisyon anpil.

Sou Bubblewrap

Bubblewrap pozisyone kòm yon aplikasyon suida limite soti nan gwoup la nan fonksyon yo namespace itilizatè yo eskli tout itilizatè ak pwosesis id soti nan anviwònman an eksepte yon sèl aktyèl la, sèvi ak mòd yo CLONE_NEWUSER ak CLONE_NEWPID.

Pou plis pwoteksyon, pwogram kouri nan Bubblewrap kòmanse nan mòd la PR_SET_NO_NEW_PRIVS, ki entèdi nouvo privilèj, pou egzanp, ak drapo a setuid.

Izolasyon nan nivo filèsistèm nan fèt pa kreye, pa default, yon nouvo mòn namespace, nan ki se yon patisyon rasin vid kreye lè l sèvi avèk tmpfs.

Si sa nesesè, seksyon ekstèn FS yo tache ak seksyon sa a nan «mòn – mare»(Pa egzanp, kòmanse avèk opsyon«bwrap –ro-bind / usr / usr', Seksyon / usr a voye soti nan lame a nan mòd li sèlman).

Kapasite rezo yo limite a aksè koòdone bouk Envèse ak izolasyon chemine rezo atravè endikatè CLONE_NEWNET ak CLONE_NEWUTS.

Diferans lan kle ak pwojè a menm jan Firejail, ki itilize tou lans lan setuid, se ke nan Bubblewrap, kouch veso a gen ladan sèlman karakteristik minimòm ki nesesè yo ak tout fonksyon avanse yo oblije lanse aplikasyon grafik, kominike avèk Desktop la, ak filtre apèl nan Pulseaudio, yo te pote nan bò Flatpak epi kouri apre privilèj yo te Reyajiste.

Firejail, nan lòt men an, konbine tout fonksyon ki gen rapò nan yon sèl dosye ègzèkutabl, konplike kontwòl kontab ou ak kenbe sekirite nan nivo apwopriye a.

Bubblewrap fondamantalman travay pa vle di nan la kreye yon namespace mòn vid sou yon sistèm dosye tanporè ki pral detwi apre pwosesis sandboks fini.

Atravè itilize nan switch, itilizatè a ka bati anviwònman an fichèrsistèm vle nan mòn namespace a pa aliye sou lyen an nan repèrtwar yo vle soti nan sistèm lan lame.

Wrap jarèt 0.4.0

Bubblewrap se kounye a nan vèsyon 0.4 li yo.0 ki te resamman lage. Kòd pwojè a ekri nan C epi distribye anba lisans LGPLv2 +.

Nouvo vèsyon an se remakab pou aplikasyon an nan sipò pou rantre nan namespaces yo ak pwosesis itilizatè ki egziste deja (pid namespaces).

Drapo "–userns", "–userns2" ak "–pidns" yo te ajoute pou kontwole koneksyon espas non yo.

Karakteristik sa a pa travay nan mòd setuid ak mande pou yon mòd apa ki ka travay san yo pa privilèj rasin, men mande pou espas non itilizatè yo dwe pèmèt sou sistèm lan (enfim pa default sou Debian ak RHEL / CentOS) epi yo pa eskli posibilite pou yo eksplwate potansyèlman rete frajilite nan kwen nan restriksyon "itilizatè namespaces".

Nan karakteristik yo ki nouvo nan Bubblewrap 0.4, se posibilite pou bati ak bibliyotèk la musl C olye pou yo glibc tou obsève, ak sipò pou ekonomize enfòmasyon namespace nan yon dosye estatistik nan fòma JSON.

Kòd la Bubblewrap, osi byen ke dokiman an sou li, ka konsilte sou Github, lyen an se sa a.


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

Se pou premye a fè kòmantè

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.