recentemente la disponibilità di la nuova versione del sandboxing pluriball 0.6, in cui sono state apportate alcune importanti modifiche come l'inclusione del supporto per la compilazione con Meson, il supporto parziale per la specifica REUSE e alcune altre modifiche.
Per coloro che non sono a conoscenza di Bubblewrap, dovresti sapere che questo è un utilità generalmente utilizzata per limitare le singole applicazioni agli utenti non privilegiati. In pratica, il progetto Flatpak utilizza Bubblewrap come livello per isolare le applicazioni lanciate dai pacchetti.
Per l'isolamento, Linux utilizza le tecnologie di virtualizzazione dei contenitori tradizionali basati sull'uso di cgroups, namespace, Seccomp e SELinux. Per eseguire operazioni privilegiate per configurare un contenitore, Bubblewrap viene avviato con privilegi di root (un file eseguibile con un flag suid), seguito da un ripristino dei privilegi dopo che il contenitore è stato inizializzato.
A proposito di Bubblewrap
Bubblewrap è posizionato come un'implementazione suida limitata dal sottoinsieme delle funzioni degli spazi dei nomi utente per escludere tutti gli ID utente e di processo dall'ambiente tranne quello corrente, utilizzare le modalità CLONE_NEWUSER e CLONE_NEWPID.
Per una protezione aggiuntiva, i programmi in esecuzione in Bubblewrap vengono avviati in modalità PR_SET_NO_NEW_PRIVS, che proibisce nuovi privilegi, ad esempio, con il flag setuid.
L'isolamento a livello di file system viene eseguito creando un nuovo spazio dei nomi di montaggio per impostazione predefinita, in cui viene creata una partizione root vuota utilizzando tmpfs.
Se necessario, le sezioni FS esterne sono allegate a questa sezione in «montare –bind»(Ad esempio, iniziando con l'opzione«bwrap –ro-bind / usr / usr', La sezione / usr viene inoltrata dall'host in modalità di sola lettura).
Le capacità di rete sono limitati all'accesso all'interfaccia di loopback invertito con isolamento dello stack di rete tramite indicatori CLONE_NEWNET e CLONE_NEWUTS.
La differenza fondamentale con il progetto Firejail simile, che utilizza anche il setuid launcher, è quello in Bubblewrap, il livello contenitore include solo le caratteristiche minime necessarie e tutte le funzioni avanzate necessarie per lanciare applicazioni grafiche, interagire con il desktop e filtrare le chiamate a Pulseaudio, vengono portate insieme a Flatpak ed eseguite dopo il ripristino dei privilegi.
Principali novità di Bubblewrap 0.6
In questa nuova versione di Bubblewrap 0.6 presentata, viene evidenziato che aggiunto supporto per il sistema di costruzione mesone, per cui il supporto per la compilazione con Autotools è stato preservato per ora, ma è inteso che questo verrà rimosso a favore dell'utilizzo di Meson in una versione futura.
Un'altra novità in questa nuova versione di Bubblewrap 0.6 è l'implementazione dell'opzione “–add-seccomp” per aggiungere più di un programma seccomp, aggiunto anche un avviso che se l'opzione "--seccomp" viene specificata nuovamente, verrà applicata solo l'ultima opzione.
Si segnala inoltre che supporto parziale per la specifica REUSE, che unifica il processo di specificazione delle informazioni sulla licenza e sul copyright.
Oltre a ciò sono state aggiunte anche le intestazioni Identificatore di licenza SPDX per molti file di codice. Seguendo le linee guida REUSE, è facile determinare automaticamente quale licenza si applica a quali parti del codice dell'applicazione.
D'altra parte, ha aggiunto controllo del valore del contatore degli argomenti dalla riga di comando (argc) e implementato un'uscita di emergenza se il contatore è zero. Il cambiamento pagConsente di bloccare i problemi di sicurezza causato da una gestione errata degli argomenti della riga di comando passati, come CVE-2021-4034 in Polkit
Delle altre modifiche che si distinguono da questa nuova versione:
- Il ramo master nel repository git è stato rinominato main
- Rimuovere la vecchia integrazione CI
- Utilizzo di bash tramite PATH per una migliore compatibilità con i sistemi operativi non FHS
finalmente se lo sei interessato a saperne un po' di più su questa nuova versione, puoi controllare i dettagli nel seguente link