nemrég elérhetősége a sandboxing új verziója buborékfólia 0.6, amelyben néhány fontos változtatás történt, például a Mesonnal való fordítás támogatása, a REUSE specifikáció részleges támogatása és néhány egyéb változtatás.
Azok számára, akik nem ismerik a Bubblewrap-ot, tudniuk kell, hogy ez a segédprogram, amelyet általában az egyes alkalmazások nem privilegizált felhasználókra való korlátozására használnak. A gyakorlatban a Flatpak projekt a Bubblewrap réteget használja a csomagokból indított alkalmazások elkülönítésére.
Az elkülönítéshez a Linux virtualizációs technológiákat használ a hagyományos tárolók közül, amelyek a csoportok, névterek, Seccomp és SELinux használatán alapulnak. Kiváltságos műveletek végrehajtásához egy tároló konfigurálásához a Bubblewrap root jogosultságokkal indul (egy futtatható fájl suid jelzővel), majd a tároló inicializálása után a jogosultság visszaállítása következik.
A Bubblewrap-ról
A Bubblewrap korlátozott suida megvalósításként van elhelyezve a felhasználói névtér függvények részhalmazából az összes felhasználói és folyamatazonosító kizárásához a környezetből, a jelenlegi kivételével, használja a CLONE_NEWUSER és CLONE_NEWPID.
További védelem érdekében a Bubblewrap programban futó programok a módban indulnak PR_SET_NO_NEW_PRIVS, amely tiltja az új kiváltságokat, például a setuid zászlóval.
A fájlrendszer szintjén történő elkülönítés alapértelmezés szerint egy új mount névtér létrehozásával történik, amelyben egy üres gyökérpartíciót hoznak létre a tmpfs segítségével.
Szükség esetén a külső FS szakaszok ehhez a szakaszhoz vannak csatolva a «mount –köt»(Például a«bwrap –ro-bind / usr / usr', A / usr szakaszt csak olvasható módban továbbítja a gazdagépről).
A képességei hálózat csak a loopback interfészhez való hozzáférésre korlátozódik indikátorokon keresztül fordítva hálózati veremszigeteléssel CLONE_NEWNET és CLONE_NEWUTS.
A legfontosabb különbség a hasonló Firejail projekttel szemben, amely szintén használja a setuid indítót, az a Bubblewrap-ban van, a konténeréteg csak a minimálisan szükséges tulajdonságokat tartalmazza és minden olyan speciális funkció, amely szükséges a grafikus alkalmazások indításához, az asztallal való interakcióhoz és a Pulseaudio hívások szűréséhez, a Flatpak oldalára kerülnek, és a jogosultságok visszaállítása után futtathatóak.
A Bubblewrap 0.6 fő újdonságai
A Bubblewrap 0.6 bemutatott új verziójában kiemelték, hogy hozzáadott támogatást az építési rendszer Mezon, mellyel a fordítás támogatása a Az Autotools számára megőrizték most, de az a cél, hogy ez el lesz távolítva a Meson használatának javára egy jövőbeli kiadásban.
Egy másik újdonság a Bubblewrap 0.6 új verziójában az opció megvalósítása „–add-seccomp” egynél több seccomp program hozzáadásához, egy figyelmeztetést is hozzáadott, hogy ha a "--seccomp" opciót ismét megadja, akkor csak az utolsó opció kerül alkalmazásra.
Azt is megjegyzik, hogy a a REUSE specifikáció részleges támogatása, amely egyesíti a licenc- és szerzői jogi információk megadásának folyamatát.
Ezen kívül fejléceket is hozzáadtak SPDX-License-Identifier sok fájlhoz kódból. Az ÚJRAHASZNÁLÁSI irányelvek követése megkönnyíti annak automatikus meghatározását, hogy melyik licenc vonatkozik az alkalmazás kódjának mely részeire.
Másrészt tette hozzá argumentum számláló érték ellenőrzése a parancssorból (argc), és megvalósított egy vészkijáratot, ha a számláló nulla. A változás pLehetővé teszi a biztonsági problémák blokkolását az átadott parancssori argumentumok helytelen kezelése okozta, például a CVE-2021-4034 a Polkitben
A többi változás közül amelyek kiemelkednek ebből az új verzióból:
- A git adattárban lévő fő ág át lett nevezve mainre
- Távolítsa el a régi CI-integrációt
- A bash használata PATH-on keresztül a nem FHS operációs rendszerekkel való jobb kompatibilitás érdekében
végre, ha az vagy érdekelne egy kicsit többet megtudni róla erről az új verzióról ellenőrizheti a részleteket A következő linken.